Tech Insights

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆弱性、予測可能な乱数生成による認証リスクが発生

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...

Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2024-57835】Amon2::Auth::Site::LINEに暗号化機能の脆...

Perlモジュール「Amon2::Auth::Site::LINE」のバージョン0.04以前に重大な脆弱性が発見された。String::Randomモジュールがnonce値の生成にPerlの組み込み関数rand()を使用しており、暗号学的に安全でない乱数生成による認証システムのセキュリティリスクが指摘されている。CVSSスコア5.5(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆弱性、早急なパッチ適用が必要に

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆...

MITREはEpicor HCM 2021 1.9にSQLインジェクション脆弱性が存在することを公開した。JsonFetcher.svcエンドポイントのfilterパラメータを悪用することで、攻撃者はバックエンドデータベースで任意のSQLコマンドを実行可能となる。深刻度は9.8(Critical)と評価されており、HCM2022/2023/2024向けのセキュリティパッチが提供されている。早急なアップデートが推奨される。

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆...

MITREはEpicor HCM 2021 1.9にSQLインジェクション脆弱性が存在することを公開した。JsonFetcher.svcエンドポイントのfilterパラメータを悪用することで、攻撃者はバックエンドデータベースで任意のSQLコマンドを実行可能となる。深刻度は9.8(Critical)と評価されており、HCM2022/2023/2024向けのセキュリティパッチが提供されている。早急なアップデートが推奨される。

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワークへの不正アクセスが可能に

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...

GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。

【CVE-2025-32013】LNbitsのLNURL認証に重大な脆弱性が発見、内部ネットワ...

GitHubが2025年4月6日、Lightning Network決済システムLNbitsにおいて深刻なSSRF脆弱性を発見。LNURL認証のコールバックURL処理に問題があり、内部ネットワークリソースへの不正アクセスが可能となっている。CVSSスコア9.3のクリティカルな脆弱性として、バージョン0.12.12以前のすべてのバージョンが影響を受ける。httpxライブラリのリダイレクト機能が有効な状態での実装が原因。

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2.8で修正完了

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2...

GitHubは2025年3月27日、慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満に格納型クロスサイトスクリプティングの脆弱性(CVE-2025-30366)が存在することを公開した。この脆弱性はpersonalizacao.phpファイルに関連しており、CVSSスコア6.2(Medium)と評価されている。WeGIAの開発元LabRedesCefetRJは、この問題に対処するためバージョン3.2.8をリリースし修正を完了している。

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2...

GitHubは2025年3月27日、慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満に格納型クロスサイトスクリプティングの脆弱性(CVE-2025-30366)が存在することを公開した。この脆弱性はpersonalizacao.phpファイルに関連しており、CVSSスコア6.2(Medium)と評価されている。WeGIAの開発元LabRedesCefetRJは、この問題に対処するためバージョン3.2.8をリリースし修正を完了している。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQLインジェクション脆弱性、データベース情報漏洩のリスクに早急な対応が必要

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-30282】Adobe ColdFusionに認証回避の重大な脆弱性、任意のコード実行が可能に

【CVE-2025-30282】Adobe ColdFusionに認証回避の重大な脆弱性、任意...

Adobeは2025年4月8日、ColdFusionの複数バージョンに認証回避の重大な脆弱性が存在することを公表した。CVE-2025-30282として識別されるこの脆弱性は、CVSS v3.1で9.1のクリティカルな深刻度に分類され、攻撃者による任意のコード実行を可能にする。影響を受けるバージョンは2023.12、2021.18、2025.0以前で、ユーザーの操作を必要とするものの重大な影響をもたらす可能性がある。

【CVE-2025-30282】Adobe ColdFusionに認証回避の重大な脆弱性、任意...

Adobeは2025年4月8日、ColdFusionの複数バージョンに認証回避の重大な脆弱性が存在することを公表した。CVE-2025-30282として識別されるこの脆弱性は、CVSS v3.1で9.1のクリティカルな深刻度に分類され、攻撃者による任意のコード実行を可能にする。影響を受けるバージョンは2023.12、2021.18、2025.0以前で、ユーザーの操作を必要とするものの重大な影響をもたらす可能性がある。

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョンでOS Command Injectionのリスクが発覚

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョン...

Adobe ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)にOS Command Injectionの脆弱性が発見された。CVE-2025-30289として報告されたこの脆弱性は、CVSSスコア7.5の高リスクと評価され、ユーザー操作なしで任意のコード実行が可能となる危険性がある。特権レベルが低い状態でも悪用可能なため、早急な対応が求められている。

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョン...

Adobe ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)にOS Command Injectionの脆弱性が発見された。CVE-2025-30289として報告されたこの脆弱性は、CVSSスコア7.5の高リスクと評価され、ユーザー操作なしで任意のコード実行が可能となる危険性がある。特権レベルが低い状態でも悪用可能なため、早急な対応が求められている。

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Android 12.0-15.0などに影響

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Androi...

MediaTek社が同社のDA機能における境界値チェックの欠如による脆弱性を公開した。この脆弱性はMT6781など15製品に影響し、Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンが対象となる。物理アクセスにより特権昇格の可能性があり、CVSSスコア6.8と評価されている。早急なパッチ適用による対策が推奨される。

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Androi...

MediaTek社が同社のDA機能における境界値チェックの欠如による脆弱性を公開した。この脆弱性はMT6781など15製品に影響し、Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンが対象となる。物理アクセスにより特権昇格の可能性があり、CVSSスコア6.8と評価されている。早急なパッチ適用による対策が推奨される。

【CVE-2025-32370】Kentico Xperience 13.0.178未満に認証不要のファイルアップロード脆弱性、システムの完全性に影響

【CVE-2025-32370】Kentico Xperience 13.0.178未満に認証...

Kentico Xperience 13.0.178未満のバージョンにおいて、認証されていないユーザーがContentUploaderを介してファイルをアップロードできる脆弱性が発見された。特にzip形式のファイルがTryZipProviderSafeを通じて処理される際、任意の拡張子のファイルを生成可能となる問題が指摘されている。CVSSスコア7.2のHigh評価で、システムの完全性と可用性に影響を与える可能性がある。

【CVE-2025-32370】Kentico Xperience 13.0.178未満に認証...

Kentico Xperience 13.0.178未満のバージョンにおいて、認証されていないユーザーがContentUploaderを介してファイルをアップロードできる脆弱性が発見された。特にzip形式のファイルがTryZipProviderSafeを通じて処理される際、任意の拡張子のファイルを生成可能となる問題が指摘されている。CVSSスコア7.2のHigh評価で、システムの完全性と可用性に影響を与える可能性がある。

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオーバーフローでリモート攻撃の危険性

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオー...

Tenda RX3バージョン16.03.13.11において、SetOnlineDevNameファイルのformSetDeviceName機能に重大な脆弱性が発見された。devName引数の操作によるスタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSS 4.0で8.7、CVSS 3.1で8.8のHigh評価を受け、早急な対応が必要とされている。

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオー...

Tenda RX3バージョン16.03.13.11において、SetOnlineDevNameファイルのformSetDeviceName機能に重大な脆弱性が発見された。devName引数の操作によるスタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSS 4.0で8.7、CVSS 3.1で8.8のHigh評価を受け、早急な対応が必要とされている。

【CVE-2025-3306】code-projects Blood Bank Management System 1.0にSQLインジェクションの脆弱性、医療データ漏洩のリスクに警戒

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。

【CVE-2025-3118】SourceCodester Online Tutor Portalにてクリティカルな脆弱性を発見、SQLインジェクション攻撃のリスクが表面化

【CVE-2025-3118】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0において、SQLインジェクションの脆弱性が発見され、CVE-2025-3118として登録された。view_course.phpファイルのIDパラメータ操作により、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3、CVSS 3.1で6.3のMEDIUMレベルと評価されており、特権レベルが不要な点から、早急な対応が求められる状況となっている。

【CVE-2025-3118】SourceCodester Online Tutor Port...

SourceCodester Online Tutor Portal 1.0において、SQLインジェクションの脆弱性が発見され、CVE-2025-3118として登録された。view_course.phpファイルのIDパラメータ操作により、リモートからの攻撃が可能な状態となっている。CVSS 4.0で5.3、CVSS 3.1で6.3のMEDIUMレベルと評価されており、特権レベルが不要な点から、早急な対応が求められる状況となっている。

【CVE-2025-3335】codeprojects Online Restaurant Management System 1.0にSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-3335】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のadmin/category_update.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3335として登録されたこの脆弱性は、CVSSスコア7.3でHIGHレベルに分類され、リモートからの攻撃が可能。特別な権限や認証情報が不要で攻撃コードも公開されているため、早急な対応が求められる。

【CVE-2025-3335】codeprojects Online Restaurant M...

codeprojects Online Restaurant Management System 1.0のadmin/category_update.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3335として登録されたこの脆弱性は、CVSSスコア7.3でHIGHレベルに分類され、リモートからの攻撃が可能。特別な権限や認証情報が不要で攻撃コードも公開されているため、早急な対応が求められる。

【CVE-2025-3331】Online Restaurant Management System 1.0にSQLインジェクション脆弱性、重大な情報漏洩のリスクに

【CVE-2025-3331】Online Restaurant Management Sys...

codeprojects社のOnline Restaurant Management System 1.0において、payment_save.phpファイルに重大なSQLインジェクション脆弱性が発見された。CVSSスコアは最大7.3(HIGH)と評価され、特別な権限やユーザー操作を必要とせずにリモートから攻撃可能な状態となっている。既に脆弱性は公開されており、早急な対策が必要とされる。

【CVE-2025-3331】Online Restaurant Management Sys...

codeprojects社のOnline Restaurant Management System 1.0において、payment_save.phpファイルに重大なSQLインジェクション脆弱性が発見された。CVSSスコアは最大7.3(HIGH)と評価され、特別な権限やユーザー操作を必要とせずにリモートから攻撃可能な状態となっている。既に脆弱性は公開されており、早急な対策が必要とされる。

【CVE-2025-3353】PHPGurukul Men Salon Management System 1.0にSQL injection脆弱性が発見、早急な対応が必要に

【CVE-2025-3353】PHPGurukul Men Salon Management ...

PHPGurukul Men Salon Management System 1.0のadd-services.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2025-3353】として識別され、CVSS 4.0で6.9のスコアを記録している。リモートからの攻撃が可能で認証も不要なため、顧客情報や決済情報の漏洩リスクが存在する。既に公開されている脆弱性のため、早急な対応が求められている。

【CVE-2025-3353】PHPGurukul Men Salon Management ...

PHPGurukul Men Salon Management System 1.0のadd-services.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性は【CVE-2025-3353】として識別され、CVSS 4.0で6.9のスコアを記録している。リモートからの攻撃が可能で認証も不要なため、顧客情報や決済情報の漏洩リスクが存在する。既に公開されている脆弱性のため、早急な対応が求められている。

【CVE-2025-3265】PHPGurukul e-Diary Management System 1.0にSQLインジェクション脆弱性、リモートからの攻撃が可能に

【CVE-2025-3265】PHPGurukul e-Diary Management Sy...

PHPGurukul e-Diary Management System 1.0のadd-category.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3265として登録されたこの脆弱性は、CVSS 4.0で6.9点(MEDIUM)、CVSS 3.1と3.0で7.3点(HIGH)と評価されている。認証なしでリモートから攻撃可能であり、すでに攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-3265】PHPGurukul e-Diary Management Sy...

PHPGurukul e-Diary Management System 1.0のadd-category.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3265として登録されたこの脆弱性は、CVSS 4.0で6.9点(MEDIUM)、CVSS 3.1と3.0で7.3点(HIGH)と評価されている。認証なしでリモートから攻撃可能であり、すでに攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-3299】PHPGurukul Men Salon Management System 1.0にSQLインジェクションの脆弱性、顧客データの漏洩リスクに警戒

【CVE-2025-3299】PHPGurukul Men Salon Management ...

PHPGurukulのMen Salon Management System 1.0において、appointment.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3299として登録されたこの脆弱性は、Nameパラメータを介した攻撃が可能で、CVSSスコアは最大7.3を記録。既に攻撃コードが公開されており、顧客情報や予約データへの不正アクセスのリスクが指摘されている。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-3299】PHPGurukul Men Salon Management ...

PHPGurukulのMen Salon Management System 1.0において、appointment.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3299として登録されたこの脆弱性は、Nameパラメータを介した攻撃が可能で、CVSSスコアは最大7.3を記録。既に攻撃コードが公開されており、顧客情報や予約データへの不正アクセスのリスクが指摘されている。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-3167】Tenda AC23ルーターに深刻なDoS脆弱性、リモート攻撃によるサービス停止の危険性が浮上

【CVE-2025-3167】Tenda AC23ルーターに深刻なDoS脆弱性、リモート攻撃に...

Tenda AC23ルーターのバージョン16.03.07.52においてサービス拒否(DoS)の脆弱性が発見された。CVE-2025-3167として識別されるこの脆弱性は、APIインターフェースの/goform/VerAPIMantコンポーネントに影響を与え、リモートからの攻撃が可能。CVSSスコア7.1(HIGH)と評価され、既に攻撃手法が公開されているため、早急な対策が必要とされている。

【CVE-2025-3167】Tenda AC23ルーターに深刻なDoS脆弱性、リモート攻撃に...

Tenda AC23ルーターのバージョン16.03.07.52においてサービス拒否(DoS)の脆弱性が発見された。CVE-2025-3167として識別されるこの脆弱性は、APIインターフェースの/goform/VerAPIMantコンポーネントに影響を与え、リモートからの攻撃が可能。CVSSスコア7.1(HIGH)と評価され、既に攻撃手法が公開されているため、早急な対策が必要とされている。

【CVE-2025-30427】AppleがSafariを含む主要OS製品のUse-after-free脆弱性に対処、セキュリティアップデートを緊急公開

【CVE-2025-30427】AppleがSafariを含む主要OS製品のUse-after...

Appleは2025年3月31日、visionOS、tvOS、iOS、iPadOS、macOS、Safariにおいて発見されたUse-after-free脆弱性の修正アップデートを公開した。この脆弱性は悪意のあるウェブコンテンツによってSafariが予期せず終了する可能性があり、CVSS v3.1で中程度の深刻度と評価されている。影響を受ける全製品について修正版がリリースされ、早急なアップデートが推奨される。

【CVE-2025-30427】AppleがSafariを含む主要OS製品のUse-after...

Appleは2025年3月31日、visionOS、tvOS、iOS、iPadOS、macOS、Safariにおいて発見されたUse-after-free脆弱性の修正アップデートを公開した。この脆弱性は悪意のあるウェブコンテンツによってSafariが予期せず終了する可能性があり、CVSS v3.1で中程度の深刻度と評価されている。影響を受ける全製品について修正版がリリースされ、早急なアップデートが推奨される。

【CVE-2025-24178】Appleが複数OSのセキュリティアップデートを公開、サンドボックスからの脱出を防ぐ重要な修正を実施

【CVE-2025-24178】Appleが複数OSのセキュリティアップデートを公開、サンドボ...

Appleは2025年3月31日、iOS 18.4やmacOS Sequoia 15.4など複数のOSバージョンに影響を与える重大な脆弱性【CVE-2025-24178】を公開した。CVSSスコア9.8の深刻な脆弱性により、アプリケーションがサンドボックスから脱出できる可能性が判明。状態管理の改善により修正が行われ、各OSの最新バージョンでセキュリティが強化された。

【CVE-2025-24178】Appleが複数OSのセキュリティアップデートを公開、サンドボ...

Appleは2025年3月31日、iOS 18.4やmacOS Sequoia 15.4など複数のOSバージョンに影響を与える重大な脆弱性【CVE-2025-24178】を公開した。CVSSスコア9.8の深刻な脆弱性により、アプリケーションがサンドボックスから脱出できる可能性が判明。状態管理の改善により修正が行われ、各OSの最新バージョンでセキュリティが強化された。

【CVE-2025-30067】Apache Kylinにリモートコード実行の脆弱性、管理者権限での悪用に注意

【CVE-2025-30067】Apache Kylinにリモートコード実行の脆弱性、管理者権...

Apache Software Foundationは2025年3月27日、Apache Kylinにおけるリモートコード実行の脆弱性を公開した。バージョン4.0.0から5.0.1に影響し、CVSS評価は7.2(High)。システム管理者やプロジェクト管理者の権限を持つ攻撃者がJDBC接続設定を変更することで、リモートからの任意のコード実行が可能となる。対策としてバージョン5.0.2以降へのアップグレードを推奨。

【CVE-2025-30067】Apache Kylinにリモートコード実行の脆弱性、管理者権...

Apache Software Foundationは2025年3月27日、Apache Kylinにおけるリモートコード実行の脆弱性を公開した。バージョン4.0.0から5.0.1に影響し、CVSS評価は7.2(High)。システム管理者やプロジェクト管理者の権限を持つ攻撃者がJDBC接続設定を変更することで、リモートからの任意のコード実行が可能となる。対策としてバージョン5.0.2以降へのアップグレードを推奨。

【CVE-2025-24209】Appleが複数OSのバッファオーバーフロー脆弱性を修正、セキュリティ強化へ向け対策を実施

【CVE-2025-24209】Appleが複数OSのバッファオーバーフロー脆弱性を修正、セキ...

Appleは2025年3月31日、tvOS、Safari、iPadOS、iOS、macOS Sequoiaに影響を及ぼすバッファオーバーフロー脆弱性(CVE-2025-24209)を修正するセキュリティアップデートを公開した。CVSSスコア7.0(High)と評価されており、悪意のあるWebコンテンツによる予期せぬプロセスクラッシュを防ぐため、メモリ処理の改善による対策が実施された。

【CVE-2025-24209】Appleが複数OSのバッファオーバーフロー脆弱性を修正、セキ...

Appleは2025年3月31日、tvOS、Safari、iPadOS、iOS、macOS Sequoiaに影響を及ぼすバッファオーバーフロー脆弱性(CVE-2025-24209)を修正するセキュリティアップデートを公開した。CVSSスコア7.0(High)と評価されており、悪意のあるWebコンテンツによる予期せぬプロセスクラッシュを防ぐため、メモリ処理の改善による対策が実施された。

AppleがvisionOS 2.4などの主要OSでセキュリティ更新を実施、位置情報漏洩の脆弱性に対処

AppleがvisionOS 2.4などの主要OSでセキュリティ更新を実施、位置情報漏洩の脆弱...

AppleがvisionOS 2.4、macOS Ventura 13.7.5、iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4、macOS Sonoma 14.7.5向けのセキュリティアップデートを公開した。パス処理における脆弱性(CVE-2025-30470)が発見され、アプリケーションが機密性の高い位置情報を読み取る可能性があったため、ロジックの改善による対策が実施された。CISAの評価では脆弱性の悪用は自動化されておらず、技術的影響は部分的とされている。

AppleがvisionOS 2.4などの主要OSでセキュリティ更新を実施、位置情報漏洩の脆弱...

AppleがvisionOS 2.4、macOS Ventura 13.7.5、iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4、macOS Sonoma 14.7.5向けのセキュリティアップデートを公開した。パス処理における脆弱性(CVE-2025-30470)が発見され、アプリケーションが機密性の高い位置情報を読み取る可能性があったため、ロジックの改善による対策が実施された。CISAの評価では脆弱性の悪用は自動化されておらず、技術的影響は部分的とされている。

【CVE-2025-3029】MozillaがFirefoxとThunderbirdのスプーフィング脆弱性を公開、特定のUnicode文字によるページの出所隠蔽が可能に

【CVE-2025-3029】MozillaがFirefoxとThunderbirdのスプーフ...

MozillaはFirefoxとThunderbirdに影響を与えるスプーフィング攻撃の脆弱性を公開した。Firefox 137未満とFirefox ESR 128.9未満のバージョンが影響を受け、特定のUnicode文字を含むURLによってページの真の出所を隠蔽できる問題が発見された。CVSS v3.1で7.3(High)と評価され、認証なしでのネットワーク経由攻撃の可能性が指摘されている。

【CVE-2025-3029】MozillaがFirefoxとThunderbirdのスプーフ...

MozillaはFirefoxとThunderbirdに影響を与えるスプーフィング攻撃の脆弱性を公開した。Firefox 137未満とFirefox ESR 128.9未満のバージョンが影響を受け、特定のUnicode文字を含むURLによってページの真の出所を隠蔽できる問題が発見された。CVSS v3.1で7.3(High)と評価され、認証なしでのネットワーク経由攻撃の可能性が指摘されている。

【CVE-2025-31191】AppleがmacOS、iOS、iPadOS、tvOSの脆弱性を修正、ユーザーデータ保護を強化

【CVE-2025-31191】AppleがmacOS、iOS、iPadOS、tvOSの脆弱性...

Appleは2025年3月31日、主要OS製品における重要な脆弱性CVE-2025-31191の修正アップデートを公開した。この脆弱性は、アプリケーションによるユーザーの機密データへの不正アクセスを可能にする問題を含んでおり、macOS、iOS、iPadOS、tvOSの各最新バージョンでの修正により対策が完了。CVSSスコア5.5の中程度の深刻度と評価されている。

【CVE-2025-31191】AppleがmacOS、iOS、iPadOS、tvOSの脆弱性...

Appleは2025年3月31日、主要OS製品における重要な脆弱性CVE-2025-31191の修正アップデートを公開した。この脆弱性は、アプリケーションによるユーザーの機密データへの不正アクセスを可能にする問題を含んでおり、macOS、iOS、iPadOS、tvOSの各最新バージョンでの修正により対策が完了。CVSSスコア5.5の中程度の深刻度と評価されている。

【CVE-2025-24205】AppleがiOS・iPadOS・macOSのセキュリティアップデートを公開、認証の脆弱性に対処

【CVE-2025-24205】AppleがiOS・iPadOS・macOSのセキュリティアッ...

Appleが複数のOSバージョンに対するセキュリティアップデートを公開。iOS 18.4、iPadOS 18.4・17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5、macOS Ventura 13.7.5が対象となる。アプリケーションによるユーザーの機密データへの不正アクセスを可能にする認証の脆弱性(CVE-2025-24205)が修正され、状態管理の改善による対策が実装された。

【CVE-2025-24205】AppleがiOS・iPadOS・macOSのセキュリティアッ...

Appleが複数のOSバージョンに対するセキュリティアップデートを公開。iOS 18.4、iPadOS 18.4・17.7.6、macOS Sequoia 15.4、macOS Sonoma 14.7.5、macOS Ventura 13.7.5が対象となる。アプリケーションによるユーザーの機密データへの不正アクセスを可能にする認証の脆弱性(CVE-2025-24205)が修正され、状態管理の改善による対策が実装された。

【CVE-2025-1665】Avada Builder 3.11.14にXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2025-1665】Avada Builder 3.11.14にXSS脆弱性、貢献者...

WordPressプラグインのAvada Builderにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1665として識別されるこの脆弱性は、バージョン3.11.14以前のすべてのバージョンに影響を与える。プラグインのショートコードにおける入力検証の不備により、貢献者以上の権限を持つユーザーが任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.4で中程度の深刻度と評価されている。

【CVE-2025-1665】Avada Builder 3.11.14にXSS脆弱性、貢献者...

WordPressプラグインのAvada Builderにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1665として識別されるこの脆弱性は、バージョン3.11.14以前のすべてのバージョンに影響を与える。プラグインのショートコードにおける入力検証の不備により、貢献者以上の権限を持つユーザーが任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.4で中程度の深刻度と評価されている。

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で修正完了

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満にストアドXSS脆弱性が発見された。Documentos_funcionario.phpパラメータのDados_addInfo内に存在するこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、悪意のあるスクリプトが永続的に保存される可能性がある。開発チームは迅速な対応としてバージョン3.2.6でこの問題を修正している。

【CVE-2025-30363】WeGIAにストアドXSS脆弱性が発見、バージョン3.2.6で...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.6未満にストアドXSS脆弱性が発見された。Documentos_funcionario.phpパラメータのDados_addInfo内に存在するこの脆弱性は、CVSSスコア6.4(MEDIUM)と評価され、悪意のあるスクリプトが永続的に保存される可能性がある。開発チームは迅速な対応としてバージョン3.2.6でこの問題を修正している。

【CVE-2025-30406】CentreStackに深刻な脆弱性、machineKeyによるリモートコード実行の危険性が発覚

【CVE-2025-30406】CentreStackに深刻な脆弱性、machineKeyによ...

Gladinet社のCentreStackにおいて、バージョン16.1.10296.56315以前に重大な脆弱性が発見された。CentreStackポータルのハードコードされたmachineKeyを利用した脆弱性により、攻撃者によるリモートコード実行が可能となる。この問題はバージョン16.4.10315.56368で修正され、CVSS 3.1で深刻度9.0のクリティカルと評価されている。管理者は暫定対策としてmachineKeyの手動削除が推奨される。

【CVE-2025-30406】CentreStackに深刻な脆弱性、machineKeyによ...

Gladinet社のCentreStackにおいて、バージョン16.1.10296.56315以前に重大な脆弱性が発見された。CentreStackポータルのハードコードされたmachineKeyを利用した脆弱性により、攻撃者によるリモートコード実行が可能となる。この問題はバージョン16.4.10315.56368で修正され、CVSS 3.1で深刻度9.0のクリティカルと評価されている。管理者は暫定対策としてmachineKeyの手動削除が推奨される。

【CVE-2025-31183】AppleのmacOS、iOS、iPadOS、tvOSに深刻な脆弱性、データアクセス制限の改善で対応完了

【CVE-2025-31183】AppleのmacOS、iOS、iPadOS、tvOSに深刻な...

Appleは2025年3月31日、複数のOSに影響を与える重大な脆弱性【CVE-2025-31183】を公開した。この脆弱性により、アプリケーションが機密ユーザーデータに不正アクセスできる可能性が判明。CVSSスコア9.8のCriticalレベルと評価され、特別な権限なしでネットワーク経由の攻撃が可能。各OSの最新バージョンへのアップデートで対策可能。

【CVE-2025-31183】AppleのmacOS、iOS、iPadOS、tvOSに深刻な...

Appleは2025年3月31日、複数のOSに影響を与える重大な脆弱性【CVE-2025-31183】を公開した。この脆弱性により、アプリケーションが機密ユーザーデータに不正アクセスできる可能性が判明。CVSSスコア9.8のCriticalレベルと評価され、特別な権限なしでネットワーク経由の攻撃が可能。各OSの最新バージョンへのアップデートで対策可能。