Tech Insights

【CVE-2025-1287】The Plus Addons for Elementorに深刻な脆弱性、複数のWidgetでXSS攻撃が可能に

【CVE-2025-1287】The Plus Addons for Elementorに深刻...

WordPressプラグイン「The Plus Addons for Elementor」において、Countdown、Syntax Highlighter、Page ScrollのWidgetで格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは6.2.2以前の全てとなっており、早急な対応が推奨される。

【CVE-2025-1287】The Plus Addons for Elementorに深刻...

WordPressプラグイン「The Plus Addons for Elementor」において、Countdown、Syntax Highlighter、Page ScrollのWidgetで格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは6.2.2以前の全てとなっており、早急な対応が推奨される。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻撃の可能性が指摘される

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、高権限での攻撃に要注意

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックのリスクが明らかに

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24983】Windows Win32 Kernel Subsystemに特権昇格の脆弱性、複数バージョンのWindowsに影響

【CVE-2025-24983】Windows Win32 Kernel Subsystemに...

MicrosoftはWindows Win32 Kernel Subsystemにおいて特権昇格の脆弱性(CVE-2025-24983)を公開した。この脆弱性はUse After Freeの問題により、認証された攻撃者がローカルで特権を昇格させることが可能となる。Windows 10やServer 2008/2012/2016の複数バージョンが影響を受け、CVSSスコア7.0のHigh深刻度と評価されている。

【CVE-2025-24983】Windows Win32 Kernel Subsystemに...

MicrosoftはWindows Win32 Kernel Subsystemにおいて特権昇格の脆弱性(CVE-2025-24983)を公開した。この脆弱性はUse After Freeの問題により、認証された攻撃者がローカルで特権を昇格させることが可能となる。Windows 10やServer 2008/2012/2016の複数バージョンが影響を受け、CVSSスコア7.0のHigh深刻度と評価されている。

【CVE-2025-28857】WordPress Rankchecker.io Integrationにクロスサイトリクエストフォージェリの脆弱性、格納型XSS攻撃のリスクも

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28860】WordPress用プラグインGoogle News Editors Picks Feed Generatorに深刻な脆弱性、CSRFからXSSが可能に

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-28862】WordPress用プラグインComment Date and Gravatar removerにCSRF脆弱性、バージョン1.0以前が影響対象に

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28864】Builder for Contact Form 7にCSRF脆弱性、WordPress管理者に早急な対応が必要に

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対応が必要に

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1.03から6.1.03.05まで影響

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、同社のデータベース製品GoldenDBにおいて不適切な権限管理の脆弱性を公開した。この脆弱性はバージョン6.1.03から6.1.03.05に影響し、CVSSスコア6.4で中程度の深刻度と評価されている。ネットワークからの攻撃が可能で攻撃の複雑さは低く、早急な対応が求められる状況だ。

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、同社のデータベース製品GoldenDBにおいて不適切な権限管理の脆弱性を公開した。この脆弱性はバージョン6.1.03から6.1.03.05に影響し、CVSSスコア6.4で中程度の深刻度と評価されている。ネットワークからの攻撃が可能で攻撃の複雑さは低く、早急な対応が求められる状況だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sale機能での危険性が判明

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で修正完了

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクションの脆弱性、認証なしで機密情報漏洩のリスク

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHPオブジェクトインジェクション脆弱性が発見、クリティカルレベルの対応が必要に

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性、サプライチェーン攻撃の危険性が浮き彫りに

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを通じたリモートコード実行が可能に

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...

SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...

SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で機密情報漏洩の脆弱性、範囲外読み取りのリスクに注意

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリアライゼーションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...

PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...

PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

USENとNTTデータが専用ハードウェア搭載の飲食店向けPOSシステムを共同開発、店舗DX推進による業務効率化を実現

USENとNTTデータが専用ハードウェア搭載の飲食店向けPOSシステムを共同開発、店舗DX推進...

USENとNTTデータは飲食店向けPOS『USENレジ』を共同開発し、2025年3月24日より販売を開始した。高耐久・高スペックPCと13.3インチ高輝度液晶ディスプレイを採用し、OSにはWindows IoT Enterpriseを搭載。AMD Ryzen CPUによる高速処理と安定稼働を実現し、日本語を含む5言語対応で、モバイルオーダーとタブレットオーダーの単体導入も可能としている。

USENとNTTデータが専用ハードウェア搭載の飲食店向けPOSシステムを共同開発、店舗DX推進...

USENとNTTデータは飲食店向けPOS『USENレジ』を共同開発し、2025年3月24日より販売を開始した。高耐久・高スペックPCと13.3インチ高輝度液晶ディスプレイを採用し、OSにはWindows IoT Enterpriseを搭載。AMD Ryzen CPUによる高速処理と安定稼働を実現し、日本語を含む5言語対応で、モバイルオーダーとタブレットオーダーの単体導入も可能としている。

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォーム対応とセキュリティ機能を強化

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...

Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...

Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便性が向上

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便...

GoogleはChrome OS M134を発表し、手先の不自由なユーザーのための「スローキー」機能を実装。さらにクイックインサートでのGIF挿入機能の追加やアシスタント機能のGeminiへの移行により、操作性とAI支援機能を強化。10件のセキュリティ脆弱性も修正され、より安全で使いやすいOSへと進化している。

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便...

GoogleはChrome OS M134を発表し、手先の不自由なユーザーのための「スローキー」機能を実装。さらにクイックインサートでのGIF挿入機能の追加やアシスタント機能のGeminiへの移行により、操作性とAI支援機能を強化。10件のセキュリティ脆弱性も修正され、より安全で使いやすいOSへと進化している。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリティとメモリ安全性が向上へ

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

NTT東日本がアジラと業務提携しAI防犯カメラサービス「MIMAMORI AI」を3月末から提供開始、人材不足による社会課題の解決へ

NTT東日本がアジラと業務提携しAI防犯カメラサービス「MIMAMORI AI」を3月末から提...

株式会社アジラ、NTT東日本、NTTドコモ・ベンチャーズの3社が業務提携を結び、クラウド上のAIによる防犯カメラの異常自動検知サービス「ギガらくカメラ 映像解析オプション MIMAMORI AI」を2025年3月31日より提供開始する。骨格推定方式による行動認識AIを採用し、月額1.5万円程度から利用可能な本サービスは、中小規模施設の安全管理に貢献する。

NTT東日本がアジラと業務提携しAI防犯カメラサービス「MIMAMORI AI」を3月末から提...

株式会社アジラ、NTT東日本、NTTドコモ・ベンチャーズの3社が業務提携を結び、クラウド上のAIによる防犯カメラの異常自動検知サービス「ギガらくカメラ 映像解析オプション MIMAMORI AI」を2025年3月31日より提供開始する。骨格推定方式による行動認識AIを採用し、月額1.5万円程度から利用可能な本サービスは、中小規模施設の安全管理に貢献する。

NRIセキュアがゼロトラスト成熟度評価サービスを提供開始、企業の実態に合わせた包括的な導入支援を実現

NRIセキュアがゼロトラスト成熟度評価サービスを提供開始、企業の実態に合わせた包括的な導入支援を実現

NRIセキュアテクノロジーズは2025年3月19日、企業のゼロトラストセキュリティ導入を支援する「ゼロトラスト成熟度評価サービス」の提供を開始すると発表した。米国CISAの成熟度モデルに基づき5つの主要領域と3つの横断機能について企業のゼロトラスト達成度を評価し、現状把握から目標設定、実行計画の策定までを包括的に支援する。

NRIセキュアがゼロトラスト成熟度評価サービスを提供開始、企業の実態に合わせた包括的な導入支援を実現

NRIセキュアテクノロジーズは2025年3月19日、企業のゼロトラストセキュリティ導入を支援する「ゼロトラスト成熟度評価サービス」の提供を開始すると発表した。米国CISAの成熟度モデルに基づき5つの主要領域と3つの横断機能について企業のゼロトラスト達成度を評価し、現状把握から目標設定、実行計画の策定までを包括的に支援する。

キヤノンS&Sが中小企業向けWi-Fi最適環境運用支援サービスを発表、まかせてIT DXシリーズに新サービスを追加

キヤノンS&Sが中小企業向けWi-Fi最適環境運用支援サービスを発表、まかせてIT DXシリー...

キヤノンシステムアンドサポート株式会社は、中小企業のDXを支援する「まかせてIT DXシリーズ」の新サービスとしてWi-Fi最適環境運用支援サービスを2025年3月19日より提供開始する。本サービスは、電波状況の可視化からセキュリティ環境の構築、導入後の運用支援まで一貫して提供し、中小企業における安定したWi-Fi環境の実現を支援する。

キヤノンS&Sが中小企業向けWi-Fi最適環境運用支援サービスを発表、まかせてIT DXシリー...

キヤノンシステムアンドサポート株式会社は、中小企業のDXを支援する「まかせてIT DXシリーズ」の新サービスとしてWi-Fi最適環境運用支援サービスを2025年3月19日より提供開始する。本サービスは、電波状況の可視化からセキュリティ環境の構築、導入後の運用支援まで一貫して提供し、中小企業における安定したWi-Fi環境の実現を支援する。