Tech Insights

【CVE-2025-3384】1000 Projects HRMSにSQLインジェクションの脆弱性、個人情報漏洩のリスクで早急な対応が必要に

【CVE-2025-3384】1000 Projects HRMSにSQLインジェクションの脆...

1000 Projects Human Resource Management System 1.0のemployee.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3384として登録されたこの脆弱性は、emailパラメータを介して攻撃が可能で、CVSSスコア7.3のHigh評価となっている。認証不要でリモートから攻撃可能であり、攻撃コードも公開されているため、早急な対策が必要とされている。

【CVE-2025-3384】1000 Projects HRMSにSQLインジェクションの脆...

1000 Projects Human Resource Management System 1.0のemployee.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3384として登録されたこの脆弱性は、emailパラメータを介して攻撃が可能で、CVSSスコア7.3のHigh評価となっている。認証不要でリモートから攻撃可能であり、攻撃コードも公開されているため、早急な対策が必要とされている。

【CVE-2025-3206】Hospital Management System 1.0にSQLインジェクションの脆弱性、医療データの漏洩リスクに警戒

【CVE-2025-3206】Hospital Management System 1.0にS...

code-projects社のHospital Management System 1.0において、doctor-specilization.phpファイルに重大な脆弱性が発見された。CVSSスコア最大6.3を記録するこの脆弱性は、SQLインジェクション攻撃を可能にし、既に攻撃コードが公開されている。医療機関の患者データや診療記録が危険にさらされる可能性があり、早急な対応が求められている。

【CVE-2025-3206】Hospital Management System 1.0にS...

code-projects社のHospital Management System 1.0において、doctor-specilization.phpファイルに重大な脆弱性が発見された。CVSSスコア最大6.3を記録するこの脆弱性は、SQLインジェクション攻撃を可能にし、既に攻撃コードが公開されている。医療機関の患者データや診療記録が危険にさらされる可能性があり、早急な対応が求められている。

【CVE-2025-3208】Patient Record Management System 1.0にSQLインジェクションの脆弱性、医療データ保護の緊急対応が必要に

【CVE-2025-3208】Patient Record Management System...

code-projects社のPatient Record Management System 1.0において、xray_print.phpファイルのitr_noパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアはバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、患者データの保護のため早急な対応が必要とされている。

【CVE-2025-3208】Patient Record Management System...

code-projects社のPatient Record Management System 1.0において、xray_print.phpファイルのitr_noパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコアはバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態となっている。既に攻撃コードが公開されており、患者データの保護のため早急な対応が必要とされている。

AkamaiがApp & API Protector Hybridを発表、マルチクラウド環境のセキュリティ管理が効率化へ

AkamaiがApp & API Protector Hybridを発表、マルチクラウド環境の...

Akamai Technologiesは2025年4月10日、マルチクラウド、オンプレミス、CDNなど多様な環境向けのアプリケーションとAPIを一貫して保護するApp & API Protector Hybridを発表した。WAF機能を拡張し、様々な環境のアプリケーションとAPIに対して統合されたセキュリティを提供。DevOpsチームはマルチクラウドとオンプレミス環境全体でセキュリティを安全かつシームレスに展開できる。

AkamaiがApp & API Protector Hybridを発表、マルチクラウド環境の...

Akamai Technologiesは2025年4月10日、マルチクラウド、オンプレミス、CDNなど多様な環境向けのアプリケーションとAPIを一貫して保護するApp & API Protector Hybridを発表した。WAF機能を拡張し、様々な環境のアプリケーションとAPIに対して統合されたセキュリティを提供。DevOpsチームはマルチクラウドとオンプレミス環境全体でセキュリティを安全かつシームレスに展開できる。

足利銀行が業界横断の顔画像による不正検知サービスLIQUID Shieldを導入、地銀初の取り組みで不正口座開設防止を強化

足利銀行が業界横断の顔画像による不正検知サービスLIQUID Shieldを導入、地銀初の取り...

株式会社Liquidは、足利銀行が地方銀行として初めて業界横断の顔画像による不正検知サービス「LIQUID Shield」を導入したことを発表した。約3,000万件の事業者共通データベースを活用し、Web口座開設時の本人確認データを照合することで不正口座開設を防止する。2025年3月末時点で累計10,000件以上の不正を検知しており、金融機関の非対面取引における安全性向上に貢献している。

足利銀行が業界横断の顔画像による不正検知サービスLIQUID Shieldを導入、地銀初の取り...

株式会社Liquidは、足利銀行が地方銀行として初めて業界横断の顔画像による不正検知サービス「LIQUID Shield」を導入したことを発表した。約3,000万件の事業者共通データベースを活用し、Web口座開設時の本人確認データを照合することで不正口座開設を防止する。2025年3月末時点で累計10,000件以上の不正を検知しており、金融機関の非対面取引における安全性向上に貢献している。

株式会社スリーシェイクのReckonerがTeamSpiritとAPI連携を開始、バックオフィス業務のDX化を促進

株式会社スリーシェイクのReckonerがTeamSpiritとAPI連携を開始、バックオフィ...

クラウド型データ連携ツールReckonerと勤怠管理・工数管理システムTeamSpiritがAPI連携を開始。勤怠データの給与計算システムへの自動連携や、工数実績のBIツールでの可視化、経費精算データの会計システム連携による仕訳入力の自動化など、バックオフィス業務の効率化を実現。ノーコードでのデータ連携により、IT人材不足の課題解決にも貢献する。

株式会社スリーシェイクのReckonerがTeamSpiritとAPI連携を開始、バックオフィ...

クラウド型データ連携ツールReckonerと勤怠管理・工数管理システムTeamSpiritがAPI連携を開始。勤怠データの給与計算システムへの自動連携や、工数実績のBIツールでの可視化、経費精算データの会計システム連携による仕訳入力の自動化など、バックオフィス業務の効率化を実現。ノーコードでのデータ連携により、IT人材不足の課題解決にも貢献する。

HOUSEIとGLOBL PTRが物流DX領域で協業、スマート倉庫システムで倉庫業務の効率化を実現へ

HOUSEIとGLOBL PTRが物流DX領域で協業、スマート倉庫システムで倉庫業務の効率化を実現へ

HOUSEI株式会社は上海GLOBL智能科技と協業し、日本市場向けにスマート倉庫システムの提供を開始する。GLOBL PTRは中国国内で四方向パレットシャトル市場シェア40~50%を占める企業で、システム導入により倉庫スペースの50%増加と業務負担の30~50%削減を実現。安全性と保守体制を備えた高品質なソリューションを提供し、物流業界のDX化を推進する。

HOUSEIとGLOBL PTRが物流DX領域で協業、スマート倉庫システムで倉庫業務の効率化を実現へ

HOUSEI株式会社は上海GLOBL智能科技と協業し、日本市場向けにスマート倉庫システムの提供を開始する。GLOBL PTRは中国国内で四方向パレットシャトル市場シェア40~50%を占める企業で、システム導入により倉庫スペースの50%増加と業務負担の30~50%削減を実現。安全性と保守体制を備えた高品質なソリューションを提供し、物流業界のDX化を推進する。

【CVE-2025-3207】Patient Record Management System 1.0に重大な脆弱性、SQLインジェクション攻撃の危険性が判明

【CVE-2025-3207】Patient Record Management System...

code-projects社のPatient Record Management System 1.0のbirthing_form.phpファイルにおいて、birth_idパラメータの処理に関する重大な脆弱性が発見された。CVE-2025-3207として識別されるこの脆弱性は、SQLインジェクション攻撃を可能とし、リモートからの攻撃によってシステムのセキュリティが著しく低下する可能性がある。CVSS 4.0スコアは5.3(MEDIUM)と評価されている。

【CVE-2025-3207】Patient Record Management System...

code-projects社のPatient Record Management System 1.0のbirthing_form.phpファイルにおいて、birth_idパラメータの処理に関する重大な脆弱性が発見された。CVE-2025-3207として識別されるこの脆弱性は、SQLインジェクション攻撃を可能とし、リモートからの攻撃によってシステムのセキュリティが著しく低下する可能性がある。CVSS 4.0スコアは5.3(MEDIUM)と評価されている。

【CVE-2025-2996】Tenda FH1202のWeb管理インターフェースに脆弱性、アクセス制御の不備で攻撃リスクが増大

【CVE-2025-2996】Tenda FH1202のWeb管理インターフェースに脆弱性、ア...

Tenda FH1202 1.2.0.14(408)のWeb管理インターフェースにおいて、SysToolDDNSコンポーネントの処理に関連する重大な脆弱性が発見された。CVSSスコア6.9のミディアムレベルと評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。CWEでは不適切なアクセス制御(CWE-284)および誤った権限割り当て(CWE-266)に分類されており、特権不要で攻撃可能という特徴を持つ。

【CVE-2025-2996】Tenda FH1202のWeb管理インターフェースに脆弱性、ア...

Tenda FH1202 1.2.0.14(408)のWeb管理インターフェースにおいて、SysToolDDNSコンポーネントの処理に関連する重大な脆弱性が発見された。CVSSスコア6.9のミディアムレベルと評価され、リモートからの攻撃が可能であることから、早急な対策が求められている。CWEでは不適切なアクセス制御(CWE-284)および誤った権限割り当て(CWE-266)に分類されており、特権不要で攻撃可能という特徴を持つ。

【CVE-2025-2989】Tenda FH1202のWeb管理インターフェースに重大な脆弱性、不適切なアクセス制御により深刻な影響のおそれ

【CVE-2025-2989】Tenda FH1202のWeb管理インターフェースに重大な脆弱...

Tenda FH1202のバージョン1.2.0.14(408)において、Web管理インターフェースの/goform/AdvSetWrlコンポーネントに重大な脆弱性が発見された。CVSSスコアは最大6.9を記録し、リモートからの攻撃が可能な状態。特権レベルやユーザーインタラクションが不要で攻撃条件の複雑さも低く、早急な対策が必要とされている。

【CVE-2025-2989】Tenda FH1202のWeb管理インターフェースに重大な脆弱...

Tenda FH1202のバージョン1.2.0.14(408)において、Web管理インターフェースの/goform/AdvSetWrlコンポーネントに重大な脆弱性が発見された。CVSSスコアは最大6.9を記録し、リモートからの攻撃が可能な状態。特権レベルやユーザーインタラクションが不要で攻撃条件の複雑さも低く、早急な対策が必要とされている。

projectworlds Online Doctor Appointment Booking System 1.0にSQL注入の脆弱性、患者データ漏洩のリスクに警戒

projectworlds Online Doctor Appointment Booking...

projectworlds Online Doctor Appointment Booking System 1.0において、deleteappointment.phpファイルのID引数操作によるSQL注入の脆弱性が発見された。CVE-2025-3178として識別されるこの脆弱性は、CVSS評価でHIGHの深刻度を示しており、特別な権限なしでリモートからの攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。

projectworlds Online Doctor Appointment Booking...

projectworlds Online Doctor Appointment Booking System 1.0において、deleteappointment.phpファイルのID引数操作によるSQL注入の脆弱性が発見された。CVE-2025-3178として識別されるこの脆弱性は、CVSS評価でHIGHの深刻度を示しており、特別な権限なしでリモートからの攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。

【CVE-2025-3296】SourceCodester Online Eyewear Shop 1.0にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2025-3296】SourceCodester Online Eyewear Sh...

SourceCodester社のOnline Eyewear Shop 1.0において、SQL インジェクションの重大な脆弱性が発見された。/classes/Users.php?f=delete_customerファイルのID引数を操作することで攻撃が可能で、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。セキュリティ専門家からは、適切なパラメータ化やエスケープ処理の実装が推奨されている。

【CVE-2025-3296】SourceCodester Online Eyewear Sh...

SourceCodester社のOnline Eyewear Shop 1.0において、SQL インジェクションの重大な脆弱性が発見された。/classes/Users.php?f=delete_customerファイルのID引数を操作することで攻撃が可能で、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。セキュリティ専門家からは、適切なパラメータ化やエスケープ処理の実装が推奨されている。

【CVE-2025-3180】projectworlds医療予約システムに重大な脆弱性、SQLインジェクション攻撃のリスクが明らかに

【CVE-2025-3180】projectworlds医療予約システムに重大な脆弱性、SQL...

医療予約システム「projectworlds Online Doctor Appointment Booking System 1.0」において、deleteschedule.phpファイルにSQLインジェクションの脆弱性が発見された。遠隔から攻撃可能であり、CVSSスコア最大7.5の深刻な脆弱性として評価されている。特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

【CVE-2025-3180】projectworlds医療予約システムに重大な脆弱性、SQL...

医療予約システム「projectworlds Online Doctor Appointment Booking System 1.0」において、deleteschedule.phpファイルにSQLインジェクションの脆弱性が発見された。遠隔から攻撃可能であり、CVSSスコア最大7.5の深刻な脆弱性として評価されている。特権やユーザー操作も不要なため、早急な対応が求められる状況だ。

【CVE-2025-3330】Online Restaurant Management Systemに重大な脆弱性、SQLインジェクションによる不正アクセスのリスクが深刻化

【CVE-2025-3330】Online Restaurant Management Sys...

codeprojects Online Restaurant Management System 1.0のreservation_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3の高リスク脆弱性で、リモートからの攻撃が可能。認証不要で悪用できる点が特に危険視されている。既に公開済みで攻撃コードも流出しており、早急な対策が必要だ。

【CVE-2025-3330】Online Restaurant Management Sys...

codeprojects Online Restaurant Management System 1.0のreservation_save.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3の高リスク脆弱性で、リモートからの攻撃が可能。認証不要で悪用できる点が特に危険視されている。既に公開済みで攻撃コードも流出しており、早急な対策が必要だ。

【CVE-2025-3308】Blood Bank Management Systemに重大な脆弱性、医療データの安全性に懸念

【CVE-2025-3308】Blood Bank Management Systemに重大な...

code-projects社のBlood Bank Management System 1.0において、viewrequest.phpファイルのID引数に重大なSQL injection脆弱性が発見された。CVSSスコア6.9を記録したこの脆弱性は、特権不要でリモートから攻撃可能であり、既に攻撃コードが公開されている。医療データの機密性に関わる重大な問題として、早急な対応が求められている。

【CVE-2025-3308】Blood Bank Management Systemに重大な...

code-projects社のBlood Bank Management System 1.0において、viewrequest.phpファイルのID引数に重大なSQL injection脆弱性が発見された。CVSSスコア6.9を記録したこの脆弱性は、特権不要でリモートから攻撃可能であり、既に攻撃コードが公開されている。医療データの機密性に関わる重大な問題として、早急な対応が求められている。

【CVE-2025-3179】projectworlds Online Doctor Appointment Booking Systemに重大な脆弱性、患者データが危険に

【CVE-2025-3179】projectworlds Online Doctor Appo...

projectworlds Online Doctor Appointment Booking System 1.0において、deletepatient.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3179として公開されたこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特権も不要とされている。既に公開されており早急な対策が必要だ。

【CVE-2025-3179】projectworlds Online Doctor Appo...

projectworlds Online Doctor Appointment Booking System 1.0において、deletepatient.phpファイルにSQL injection脆弱性が発見された。CVE-2025-3179として公開されたこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特権も不要とされている。既に公開されており早急な対策が必要だ。

【CVE-2025-3137】PHPGurukulのセキュリティシステムにSQLインジェクションの脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-3137】PHPGurukulのセキュリティシステムにSQLインジェクショ...

PHPGurukul Online Security Guards Hiring System 1.0のchangeimage.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な状態。認証不要で攻撃可能なため、データベースの改ざんや情報漏洩のリスクが高く、早急な対策が必要とされている。

【CVE-2025-3137】PHPGurukulのセキュリティシステムにSQLインジェクショ...

PHPGurukul Online Security Guards Hiring System 1.0のchangeimage.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な状態。認証不要で攻撃可能なため、データベースの改ざんや情報漏洩のリスクが高く、早急な対策が必要とされている。

LINE WORKSがバージョン4.2で大規模アップデートを実施、トークルームのカテゴリー表示とOCR検索機能で業務効率が向上

LINE WORKSがバージョン4.2で大規模アップデートを実施、トークルームのカテゴリー表示...

LINE WORKS株式会社は2025年4月10日、ビジネスコミュニケーションツール「LINE WORKS」のバージョン4.2をリリースした。トークルームのカテゴリー別表示や掲示板のラベル機能、Drive PlusでのOCR技術を活用した検索機能など、情報アクセスの効率を高める機能が多数追加された。特にファイル添付時のセキュリティ強化により、安全な情報共有が可能になっている。

LINE WORKSがバージョン4.2で大規模アップデートを実施、トークルームのカテゴリー表示...

LINE WORKS株式会社は2025年4月10日、ビジネスコミュニケーションツール「LINE WORKS」のバージョン4.2をリリースした。トークルームのカテゴリー別表示や掲示板のラベル機能、Drive PlusでのOCR技術を活用した検索機能など、情報アクセスの効率を高める機能が多数追加された。特にファイル添付時のセキュリティ強化により、安全な情報共有が可能になっている。

GoogleがClassroom APIの成績期間管理機能を一般提供開始、教育機関の業務効率化に貢献

GoogleがClassroom APIの成績期間管理機能を一般提供開始、教育機関の業務効率化に貢献

Google Classroom APIの成績期間管理機能が一般提供を開始。開発者は管理者や教師に代わってコース内の成績期間を作成・変更・削除できるようになり、既存のコースワークアイテムへの成績期間設定の適用も可能に。Google Workspace for Education Plusライセンスが必要で、OAuth 2.0による認証を採用。教育機関の成績管理業務の効率化に大きく貢献する機能として期待が高まる。

GoogleがClassroom APIの成績期間管理機能を一般提供開始、教育機関の業務効率化に貢献

Google Classroom APIの成績期間管理機能が一般提供を開始。開発者は管理者や教師に代わってコース内の成績期間を作成・変更・削除できるようになり、既存のコースワークアイテムへの成績期間設定の適用も可能に。Google Workspace for Education Plusライセンスが必要で、OAuth 2.0による認証を採用。教育機関の成績管理業務の効率化に大きく貢献する機能として期待が高まる。

【CVE-2025-2993】Tenda FH1202に重大な脆弱性、アクセス制御の不備でリモート攻撃の可能性

【CVE-2025-2993】Tenda FH1202に重大な脆弱性、アクセス制御の不備でリモ...

Tenda FH1202 1.2.0.14において、default.cfgファイルのアクセス制御に関する重大な脆弱性が発見された。CVSSスコア6.9のMEDIUMレベルと評価され、リモートからの攻撃が可能で、特権レベルやユーザー操作も不要とされている。既に公開済みの脆弱性であり、早急な対応が求められる状況だ。

【CVE-2025-2993】Tenda FH1202に重大な脆弱性、アクセス制御の不備でリモ...

Tenda FH1202 1.2.0.14において、default.cfgファイルのアクセス制御に関する重大な脆弱性が発見された。CVSSスコア6.9のMEDIUMレベルと評価され、リモートからの攻撃が可能で、特権レベルやユーザー操作も不要とされている。既に公開済みの脆弱性であり、早急な対応が求められる状況だ。

【CVE-2025-3307】Blood Bank Management System 1.0に重大な脆弱性、SQLインジェクション攻撃のリスクが発生

【CVE-2025-3307】Blood Bank Management System 1.0...

code-projects社のBlood Bank Management System 1.0のreset.phpファイルにおいて、useremailパラメータを悪用したSQLインジェクション攻撃が可能な重大な脆弱性が発見された。CVSS 3.1でHigh(7.3)と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要とされている。既に脆弱性の詳細が公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-3307】Blood Bank Management System 1.0...

code-projects社のBlood Bank Management System 1.0のreset.phpファイルにおいて、useremailパラメータを悪用したSQLインジェクション攻撃が可能な重大な脆弱性が発見された。CVSS 3.1でHigh(7.3)と評価されており、リモートからの攻撃が可能で認証も不要なため、早急な対応が必要とされている。既に脆弱性の詳細が公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-3203】Tenda W18Eにスタックベースのバッファオーバーフロー脆弱性、リモート攻撃のリスクが深刻化

【CVE-2025-3203】Tenda W18Eにスタックベースのバッファオーバーフロー脆弱...

Tenda W18E 16.01.0.11において、setModulesのformSetAccountList機能にスタックベースのバッファオーバーフローの脆弱性が発見された。Password引数の操作によって引き起こされるこの脆弱性は、リモートからの攻撃が可能で、既にexploitが公開されている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-3203】Tenda W18Eにスタックベースのバッファオーバーフロー脆弱...

Tenda W18E 16.01.0.11において、setModulesのformSetAccountList機能にスタックベースのバッファオーバーフローの脆弱性が発見された。Password引数の操作によって引き起こされるこの脆弱性は、リモートからの攻撃が可能で、既にexploitが公開されている。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-3187】PHPGurukul e-Diary Management System 1.0にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2025-3187】PHPGurukul e-Diary Management Sy...

PHPGurukul e-Diary Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。logindetail引数の操作によってリモートから攻撃が可能となり、CVSSスコアは最大7.3(高)と評価されている。既に脆弱性の詳細が公開されており、早急な対応が必要とされる。VulDBユーザーのLoki.Tによって報告され、CWEではSQLインジェクションとインジェクションの2つのカテゴリに分類されている。

【CVE-2025-3187】PHPGurukul e-Diary Management Sy...

PHPGurukul e-Diary Management System 1.0のlogin.phpファイルにSQLインジェクションの脆弱性が発見された。logindetail引数の操作によってリモートから攻撃が可能となり、CVSSスコアは最大7.3(高)と評価されている。既に脆弱性の詳細が公開されており、早急な対応が必要とされる。VulDBユーザーのLoki.Tによって報告され、CWEではSQLインジェクションとインジェクションの2つのカテゴリに分類されている。

【CVE-2025-3399】ESAFENET CDG 5.6.3にSQLインジェクションの脆弱性、リモート攻撃の可能性で深刻度が上昇

【CVE-2025-3399】ESAFENET CDG 5.6.3にSQLインジェクションの脆...

ESAFENET CDG 5.6.3.154.205_20250114において、/pubinfo/updateNotice.jspファイルに関連する重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、3.1および3.0では7.3(HIGH)と評価されており、リモートからの攻撃が可能な状態となっている。ベンダーは事前に連絡を受けていたものの、現時点で対応は行われていない。

【CVE-2025-3399】ESAFENET CDG 5.6.3にSQLインジェクションの脆...

ESAFENET CDG 5.6.3.154.205_20250114において、/pubinfo/updateNotice.jspファイルに関連する重大なSQLインジェクションの脆弱性が発見された。CVSSスコアは最新のバージョン4.0で6.9(MEDIUM)、3.1および3.0では7.3(HIGH)と評価されており、リモートからの攻撃が可能な状態となっている。ベンダーは事前に連絡を受けていたものの、現時点で対応は行われていない。

【CVE-2025-3325】iteaj iboot物联网网关1.1.3に重大な脆弱性、管理者パスワードの不適切なアクセス制御により攻撃が可能に

【CVE-2025-3325】iteaj iboot物联网网关1.1.3に重大な脆弱性、管理者...

セキュリティ企業VulDBが、iteaj iboot物联网网关1.1.3において重大な脆弱性を発見し公表した。管理者パスワードハンドラーのコンポーネントにおける不適切なアクセス制御の問題で、引数IDの操作によってリモートからの攻撃が可能となっている。CVSSスコアは中程度だが、既に一般公開されており早急な対応が必要な状況だ。

【CVE-2025-3325】iteaj iboot物联网网关1.1.3に重大な脆弱性、管理者...

セキュリティ企業VulDBが、iteaj iboot物联网网关1.1.3において重大な脆弱性を発見し公表した。管理者パスワードハンドラーのコンポーネントにおける不適切なアクセス制御の問題で、引数IDの操作によってリモートからの攻撃が可能となっている。CVSSスコアは中程度だが、既に一般公開されており早急な対応が必要な状況だ。

【CVE-2025-3327】iteaj iboot 物联网网关にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-3327】iteaj iboot 物联网网关にクロスサイトスクリプティング...

VulDBは2025年4月7日、IoTゲートウェイ製品iteaj iboot 物联网网关 1.1.3のFile Upload機能に、クロスサイトスクリプティングの脆弱性(CVE-2025-3327)を発見したと発表した。この脆弱性はリモートから攻撃可能で、CVSSスコア5.1(Medium)と評価されている。既に一般公開されており、早急な対策が求められる状況となっている。

【CVE-2025-3327】iteaj iboot 物联网网关にクロスサイトスクリプティング...

VulDBは2025年4月7日、IoTゲートウェイ製品iteaj iboot 物联网网关 1.1.3のFile Upload機能に、クロスサイトスクリプティングの脆弱性(CVE-2025-3327)を発見したと発表した。この脆弱性はリモートから攻撃可能で、CVSSスコア5.1(Medium)と評価されている。既に一般公開されており、早急な対策が求められる状況となっている。

【CVE-2025-3177】FastCMS 0.1.5でJWTハードコーディングキーの脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-3177】FastCMS 0.1.5でJWTハードコーディングキーの脆弱性...

FastCMS 0.1.5においてJWTハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-3177として識別されるこの脆弱性は、暗号化キーのハードコーディングに起因し、リモートからの攻撃が可能。CVSS 3.1で中程度(5.0)と評価されているが、攻撃コードが既に公開されており、実際の攻撃に使用される可能性が指摘されている。

【CVE-2025-3177】FastCMS 0.1.5でJWTハードコーディングキーの脆弱性...

FastCMS 0.1.5においてJWTハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-3177として識別されるこの脆弱性は、暗号化キーのハードコーディングに起因し、リモートからの攻撃が可能。CVSS 3.1で中程度(5.0)と評価されているが、攻撃コードが既に公開されており、実際の攻撃に使用される可能性が指摘されている。

【CVE-2025-3267】TinyWebServer 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2025-3267】TinyWebServer 1.0にSQLインジェクションの脆弱...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内にSQLインジェクションの脆弱性が発見された。CVE-2025-3267として識別されるこの脆弱性は、name/password引数の操作によってリモートからの攻撃が可能となり、既に攻撃コードが公開されている。CVSSスコア6.3(Medium)と評価され、早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2025-3267】TinyWebServer 1.0にSQLインジェクションの脆弱...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内にSQLインジェクションの脆弱性が発見された。CVE-2025-3267として識別されるこの脆弱性は、name/password引数の操作によってリモートからの攻撃が可能となり、既に攻撃コードが公開されている。CVSSスコア6.3(Medium)と評価され、早急なセキュリティパッチの適用が推奨される状況だ。

【CVE-2025-22457】IvantiのConnect Secureなどに深刻な脆弱性、リモートコード実行の危険性が明らかに

【CVE-2025-22457】IvantiのConnect Secureなどに深刻な脆弱性、...

Ivantiは2025年4月3日、同社のConnect Secure、Policy Secure、ZTA Gatewaysに影響を与えるスタックベースのバッファオーバーフロー脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として報告され、リモートの認証されていない攻撃者によるリモートコード実行が可能となる。影響を受けるバージョンの確認と最新版へのアップデートが推奨される。

【CVE-2025-22457】IvantiのConnect Secureなどに深刻な脆弱性、...

Ivantiは2025年4月3日、同社のConnect Secure、Policy Secure、ZTA Gatewaysに影響を与えるスタックベースのバッファオーバーフロー脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として報告され、リモートの認証されていない攻撃者によるリモートコード実行が可能となる。影響を受けるバージョンの確認と最新版へのアップデートが推奨される。

【CVE-2024-13708】Booster for WooCommerceに深刻な脆弱性、認証不要でXSS攻撃が可能に

【CVE-2024-13708】Booster for WooCommerceに深刻な脆弱性、...

WordPressプラグイン「Booster for WooCommerce」のバージョン4.0.1から7.2.4に、認証不要で悪用可能なクロスサイトスクリプティングの脆弱性が発見された。SVGファイルアップロード機能の入力検証と出力エスケープが不十分なことが原因で、CVSSスコア7.2のHigh評価となっている。CWE-434に分類されるこの脆弱性は、早急な対応が必要となっている。

【CVE-2024-13708】Booster for WooCommerceに深刻な脆弱性、...

WordPressプラグイン「Booster for WooCommerce」のバージョン4.0.1から7.2.4に、認証不要で悪用可能なクロスサイトスクリプティングの脆弱性が発見された。SVGファイルアップロード機能の入力検証と出力エスケープが不十分なことが原因で、CVSSスコア7.2のHigh評価となっている。CWE-434に分類されるこの脆弱性は、早急な対応が必要となっている。