Tech Insights

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...

code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。

【CVE-2025-3305】IKUN_Library 1.0に不適切なアクセス制御の脆弱性、...

code-projectsが提供するIKUN_Library 1.0のMvcConfig.javaファイルにおいて、Borrow HandlerコンポーネントのaddInterceptors関数に不適切なアクセス制御の脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている状態。CWE-284とCWE-266に分類される本脆弱性への早急な対応が求められている。

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ローカル環境での任意コード実行のリスクが判明

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ロ...

MITREがlibheif 1.19.7においてバッファオーバーフローの脆弱性を発見し公開した。CVE-2025-29482として識別されるこの脆弱性は、libde265のSAO処理において任意のコード実行を可能とする問題を含んでおり、CVSSスコア6.2(MEDIUM)と評価されている。攻撃は自動化可能で技術的影響は部分的とされ、早急な対応が必要な状況となっている。

【CVE-2025-29482】libheif 1.19.7にバッファオーバーフロー脆弱性、ロ...

MITREがlibheif 1.19.7においてバッファオーバーフローの脆弱性を発見し公開した。CVE-2025-29482として識別されるこの脆弱性は、libde265のSAO処理において任意のコード実行を可能とする問題を含んでおり、CVSSスコア6.2(MEDIUM)と評価されている。攻撃は自動化可能で技術的影響は部分的とされ、早急な対応が必要な状況となっている。

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、ローカル攻撃によるサービス拒否の危険性

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、...

MITREがgdal 3.10.2に存在するバッファオーバーフロー脆弱性を公開した。OGRSpatialReference::Release関数を介したサービス拒否攻撃が可能で、CVSSスコア5.5のミディアムレベルと評価される。攻撃の自動化が可能で特権昇格不要という特徴を持ち、早急な対策が必要とされている。CWE-120に分類される古典的なバッファオーバーフローだが、システムへの影響が懸念される。

【CVE-2025-29480】gdalバージョン3.10.2にバッファオーバーフロー脆弱性、...

MITREがgdal 3.10.2に存在するバッファオーバーフロー脆弱性を公開した。OGRSpatialReference::Release関数を介したサービス拒否攻撃が可能で、CVSSスコア5.5のミディアムレベルと評価される。攻撃の自動化が可能で特権昇格不要という特徴を持ち、早急な対策が必要とされている。CWE-120に分類される古典的なバッファオーバーフローだが、システムへの影響が懸念される。

インサイトテクノロジーがAWS DMSデータベース移行サービスを提供開始、クラウドリフトの効率化と安全性向上に貢献

インサイトテクノロジーがAWS DMSデータベース移行サービスを提供開始、クラウドリフトの効率...

インサイトテクノロジーは2025年4月16日、AWS DMSを活用したデータベース移行サービスの提供を開始すると発表した。四半世紀のデータベース技術とAWSパートナーシップを基盤に、SQL TestingとMaskingツールによる高品質な移行を実現する。企業のクラウドリフトを包括的に支援し、データの価値最大化とクラウド環境への円滑な移行をサポートしていく。

インサイトテクノロジーがAWS DMSデータベース移行サービスを提供開始、クラウドリフトの効率...

インサイトテクノロジーは2025年4月16日、AWS DMSを活用したデータベース移行サービスの提供を開始すると発表した。四半世紀のデータベース技術とAWSパートナーシップを基盤に、SQL TestingとMaskingツールによる高品質な移行を実現する。企業のクラウドリフトを包括的に支援し、データの価値最大化とクラウド環境への円滑な移行をサポートしていく。

UiPathがエージェンティックオートメーション関連製品3点を発表、TestCloudは提供開始でMaestroとIXPは5月以降に提供予定

UiPathがエージェンティックオートメーション関連製品3点を発表、TestCloudは提供開...

UiPathは2025年4月16日、エージェンティックオートメーション関連製品としてUiPath Maestro、UiPath TestCloud、UiPath IXPの3製品を発表した。UiPath TestCloudは4月14日から日本市場での提供が開始されており、UiPath MaestroとUiPath IXPは2025年第2四半期に提供開始される予定だ。AIエージェント、ロボット、人間を組み合わせた業務の効率化を実現する。

UiPathがエージェンティックオートメーション関連製品3点を発表、TestCloudは提供開...

UiPathは2025年4月16日、エージェンティックオートメーション関連製品としてUiPath Maestro、UiPath TestCloud、UiPath IXPの3製品を発表した。UiPath TestCloudは4月14日から日本市場での提供が開始されており、UiPath MaestroとUiPath IXPは2025年第2四半期に提供開始される予定だ。AIエージェント、ロボット、人間を組み合わせた業務の効率化を実現する。

【CVE-2025-30426】Appleが複数OSのセキュリティアップデートを公開、アプリ列挙の脆弱性に対処

【CVE-2025-30426】Appleが複数OSのセキュリティアップデートを公開、アプリ列...

Appleが2025年3月31日に、visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4のセキュリティアップデートを公開した。深刻度9.8の脆弱性【CVE-2025-30426】に対応し、アプリがユーザーのインストール済みアプリを列挙できる問題を修正。追加の権限チェック機能を実装することで、ユーザーのプライバシー保護を強化している。

【CVE-2025-30426】Appleが複数OSのセキュリティアップデートを公開、アプリ列...

Appleが2025年3月31日に、visionOS 2.4、tvOS 18.4、iPadOS 17.7.6、iOS 18.4、iPadOS 18.4、macOS Sequoia 15.4のセキュリティアップデートを公開した。深刻度9.8の脆弱性【CVE-2025-30426】に対応し、アプリがユーザーのインストール済みアプリを列挙できる問題を修正。追加の権限チェック機能を実装することで、ユーザーのプライバシー保護を強化している。

【CVE-2025-28398】D-LINK DI-8100にバッファオーバーフロー脆弱性、IPsec機能に深刻な影響の可能性

【CVE-2025-28398】D-LINK DI-8100にバッファオーバーフロー脆弱性、I...

MITREが2025年4月1日に公開したD-LINK DI-8100 16.07.26A1の脆弱性情報によると、ipsec_net_asp関数のremot_ipパラメータにバッファオーバーフローの脆弱性が存在する。CVSSスコア7.1のHigh評価で、攻撃の自動化は不可能だが技術的影響は部分的とされており、システムの完全性と可用性に高い影響を及ぼす可能性がある。

【CVE-2025-28398】D-LINK DI-8100にバッファオーバーフロー脆弱性、I...

MITREが2025年4月1日に公開したD-LINK DI-8100 16.07.26A1の脆弱性情報によると、ipsec_net_asp関数のremot_ipパラメータにバッファオーバーフローの脆弱性が存在する。CVSSスコア7.1のHigh評価で、攻撃の自動化は不可能だが技術的影響は部分的とされており、システムの完全性と可用性に高い影響を及ぼす可能性がある。

【CVE-2025-3183】projectworlds Online Doctor Appointment Booking Systemに深刻な脆弱性、患者情報漏洩のリスクに警戒

【CVE-2025-3183】projectworlds Online Doctor Appo...

医療予約システム「projectworlds Online Doctor Appointment Booking System 1.0」にSQLインジェクションの脆弱性が発見された。patientFirstName引数を操作することでリモートからの攻撃が可能であり、CVSSスコアは最大7.5と高い深刻度を示している。既に公開されており攻撃に利用される可能性があるため、早急な対策が必要となっている。

【CVE-2025-3183】projectworlds Online Doctor Appo...

医療予約システム「projectworlds Online Doctor Appointment Booking System 1.0」にSQLインジェクションの脆弱性が発見された。patientFirstName引数を操作することでリモートからの攻撃が可能であり、CVSSスコアは最大7.5と高い深刻度を示している。既に公開されており攻撃に利用される可能性があるため、早急な対策が必要となっている。

ドワンゴがAndroid版ニコニコ動画アプリにコメントアシスト機能を導入、シーン別のコメント候補表示で投稿を効率化

ドワンゴがAndroid版ニコニコ動画アプリにコメントアシスト機能を導入、シーン別のコメント候...

ドワンゴは2025年4月16日、Android版ニコニコ動画アプリ(ver.8.21.0)にコメントアシスト機能を正式導入した。シーンごとの投稿傾向に基づいてよく使用されているコメントを候補として表示し、ワンタッチで送信可能。テスト期間での好評を受けて正式リリースとなり、連投制限やアシスト選定条件の調整など荒らし対策も実装された。横画面やフルスクリーン表示にも対応している。

ドワンゴがAndroid版ニコニコ動画アプリにコメントアシスト機能を導入、シーン別のコメント候...

ドワンゴは2025年4月16日、Android版ニコニコ動画アプリ(ver.8.21.0)にコメントアシスト機能を正式導入した。シーンごとの投稿傾向に基づいてよく使用されているコメントを候補として表示し、ワンタッチで送信可能。テスト期間での好評を受けて正式リリースとなり、連投制限やアシスト選定条件の調整など荒らし対策も実装された。横画面やフルスクリーン表示にも対応している。

インサイトテクノロジーがAWS DMSデータベース移行サービスを開始、四半世紀の専門性を活かした包括的支援を実現

インサイトテクノロジーがAWS DMSデータベース移行サービスを開始、四半世紀の専門性を活かし...

インサイトテクノロジーは2025年4月16日より、AWS DMSを利用したデータベース移行サービスの提供を開始した。四半世紀にわたるデータベース技術の専門性と、独自開発のSQLテストソフトウェア「Insight SQL Testing」およびデータマスキングソフトウェア「Insight Masking」を活用することで、企業のクラウドリフトを包括的に支援する体制を整えている。

インサイトテクノロジーがAWS DMSデータベース移行サービスを開始、四半世紀の専門性を活かし...

インサイトテクノロジーは2025年4月16日より、AWS DMSを利用したデータベース移行サービスの提供を開始した。四半世紀にわたるデータベース技術の専門性と、独自開発のSQLテストソフトウェア「Insight SQL Testing」およびデータマスキングソフトウェア「Insight Masking」を活用することで、企業のクラウドリフトを包括的に支援する体制を整えている。

AIデータ社が教育向けAIプラットフォーム「AI孔明 on IDX」を発表、LMSデータの活用基盤を構築

AIデータ社が教育向けAIプラットフォーム「AI孔明 on IDX」を発表、LMSデータの活用...

AIデータ株式会社は2025年4月15日、教育業界向けAI連携型データ基盤「AI孔明 on IDX」を発表した。LMSに閉じ込められた教育データを解放し、成績や教材を生成AIで分析可能な形式に変換。RAG構成を採用し、教師の質問に対して意味ベースの分析を提供する。月額4万円からで3日間のPoCも可能。教育現場のデジタル活用を加速させる新たなプラットフォームとして注目を集めている。

AIデータ社が教育向けAIプラットフォーム「AI孔明 on IDX」を発表、LMSデータの活用...

AIデータ株式会社は2025年4月15日、教育業界向けAI連携型データ基盤「AI孔明 on IDX」を発表した。LMSに閉じ込められた教育データを解放し、成績や教材を生成AIで分析可能な形式に変換。RAG構成を採用し、教師の質問に対して意味ベースの分析を提供する。月額4万円からで3日間のPoCも可能。教育現場のデジタル活用を加速させる新たなプラットフォームとして注目を集めている。

MogicのLMS「Pholly」がIT導入補助金2025の対象ツールに認定、教育DXの推進に貢献へ

MogicのLMS「Pholly」がIT導入補助金2025の対象ツールに認定、教育DXの推進に貢献へ

Mogic株式会社が提供する学習管理システム「Pholly」が、IT導入補助金2025の対象ツールとして認定された。Phollyは教職員の作業負担軽減を目指したLMSで、株式会社Animatoとの協業により、中小企業や小規模事業者は最大150万円の補助を受けることが可能。スマートフォンやタブレットからのアクセスにも対応し、授業準備や課題管理の効率化を実現する。

MogicのLMS「Pholly」がIT導入補助金2025の対象ツールに認定、教育DXの推進に貢献へ

Mogic株式会社が提供する学習管理システム「Pholly」が、IT導入補助金2025の対象ツールとして認定された。Phollyは教職員の作業負担軽減を目指したLMSで、株式会社Animatoとの協業により、中小企業や小規模事業者は最大150万円の補助を受けることが可能。スマートフォンやタブレットからのアクセスにも対応し、授業準備や課題管理の効率化を実現する。

ファーストイノベーションが2025年も全WEB施策の価格据え置きを継続、物価高騰下でも品質向上とクライアント第一を貫く

ファーストイノベーションが2025年も全WEB施策の価格据え置きを継続、物価高騰下でも品質向上...

株式会社ファーストイノベーションは2025年4月15日、全てのWEB関連サービスの価格据え置きを発表した。2023年から続く「値上げしない宣言」を継続し、物価上昇や円安、IT関連コストの上昇が続く中でも、技術力と生産性向上で対応する方針だ。制作事業、集客事業、PR事業、支援事業の全サービスが対象となり、DX推進による業務効率化で品質向上を目指す。

ファーストイノベーションが2025年も全WEB施策の価格据え置きを継続、物価高騰下でも品質向上...

株式会社ファーストイノベーションは2025年4月15日、全てのWEB関連サービスの価格据え置きを発表した。2023年から続く「値上げしない宣言」を継続し、物価上昇や円安、IT関連コストの上昇が続く中でも、技術力と生産性向上で対応する方針だ。制作事業、集客事業、PR事業、支援事業の全サービスが対象となり、DX推進による業務効率化で品質向上を目指す。

日本経営協会がJA向け人事考課eラーニングを開発、組織特性に合わせた評価スキルの向上を支援

日本経営協会がJA向け人事考課eラーニングを開発、組織特性に合わせた評価スキルの向上を支援

一般社団法人日本経営協会は、JA組織の人事考課担当者向けに新eラーニング「人事考課の基本【JA考課者向け】」を2025年4月15日に提供開始。約180分の学習コースで、能力・態度・成績の3つの考課区分や目標設定の進め方、効果的な面談手法などを解説する。価格は1名5,500円で、学習期間は30日間。JA職員限定の独自開発コースとして、組織特性に適した実践的な内容を提供する。

日本経営協会がJA向け人事考課eラーニングを開発、組織特性に合わせた評価スキルの向上を支援

一般社団法人日本経営協会は、JA組織の人事考課担当者向けに新eラーニング「人事考課の基本【JA考課者向け】」を2025年4月15日に提供開始。約180分の学習コースで、能力・態度・成績の3つの考課区分や目標設定の進め方、効果的な面談手法などを解説する。価格は1名5,500円で、学習期間は30日間。JA職員限定の独自開発コースとして、組織特性に適した実践的な内容を提供する。

MozillaがFirefox v137.0.2をリリース、macOSのパスワード管理やPDF署名機能の不具合を修正し安定性が向上

MozillaがFirefox v137.0.2をリリース、macOSのパスワード管理やPDF...

Mozillaが公開したFirefox v137.0.2では、macOSでのパスワードエクスポート時のファイルピッカー表示問題やPDF署名機能のアクセシビリティ改善、Windows環境でのツールチップのちらつき問題など、複数の不具合が修正された。また、PlayReadyハードウェアデコード対応DRMサポートを特定サイトに限定することで、動画再生の安定性も向上している。

MozillaがFirefox v137.0.2をリリース、macOSのパスワード管理やPDF...

Mozillaが公開したFirefox v137.0.2では、macOSでのパスワードエクスポート時のファイルピッカー表示問題やPDF署名機能のアクセシビリティ改善、Windows環境でのツールチップのちらつき問題など、複数の不具合が修正された。また、PlayReadyハードウェアデコード対応DRMサポートを特定サイトに限定することで、動画再生の安定性も向上している。

GoogleがWorkspaceのGeminiアルファ機能アクセス制御を発表、4月22日から段階的に提供開始

GoogleがWorkspaceのGeminiアルファ機能アクセス制御を発表、4月22日から段...

GoogleはWorkspace BusinessおよびEnterpriseの管理者向けに、Geminiアルファ機能へのアクセス制御機能を追加することを発表した。管理者はAdmin consoleから組織単位やグループ単位でアクセスを設定可能で、4月22日から段階的に提供が開始される。既存のデータ保護基準に準拠しており、最新のAI機能を安全に導入できる。

GoogleがWorkspaceのGeminiアルファ機能アクセス制御を発表、4月22日から段...

GoogleはWorkspace BusinessおよびEnterpriseの管理者向けに、Geminiアルファ機能へのアクセス制御機能を追加することを発表した。管理者はAdmin consoleから組織単位やグループ単位でアクセスを設定可能で、4月22日から段階的に提供が開始される。既存のデータ保護基準に準拠しており、最新のAI機能を安全に導入できる。

【CVE-2025-3383】SourceCodester社の医療システムに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-3383】SourceCodester社の医療システムに深刻な脆弱性、SQ...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0にSQLインジェクションの脆弱性が発見された。search_sales.phpファイルのName引数に存在するこの脆弱性は、リモートから攻撃可能でCVSSスコアも高く評価されている。すでにエクスプロイトコードが公開されており、早急な対応が必要とされる状況だ。

【CVE-2025-3383】SourceCodester社の医療システムに深刻な脆弱性、SQ...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0にSQLインジェクションの脆弱性が発見された。search_sales.phpファイルのName引数に存在するこの脆弱性は、リモートから攻撃可能でCVSSスコアも高く評価されている。すでにエクスプロイトコードが公開されており、早急な対応が必要とされる状況だ。

【CVE-2025-3185】projectworlds医療予約システムにSQLインジェクション脆弱性、患者情報漏洩のリスクが深刻化

【CVE-2025-3185】projectworlds医療予約システムにSQLインジェクショ...

projectworlds Online Doctor Appointment Booking System 1.0において重大な脆弱性が発見された。patientupdateprofile.phpファイルのpatientFirstName引数を介したSQLインジェクションが可能で、CVSSスコアは最大7.3を記録。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。医療系システムの個人情報保護に関わる重要な脆弱性として注目されている。

【CVE-2025-3185】projectworlds医療予約システムにSQLインジェクショ...

projectworlds Online Doctor Appointment Booking System 1.0において重大な脆弱性が発見された。patientupdateprofile.phpファイルのpatientFirstName引数を介したSQLインジェクションが可能で、CVSSスコアは最大7.3を記録。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。医療系システムの個人情報保護に関わる重要な脆弱性として注目されている。

テストーがスマートフォン用サーモグラフィtesto 860iを発売、コンパクトで高画質な熱画像撮影を実現

テストーがスマートフォン用サーモグラフィtesto 860iを発売、コンパクトで高画質な熱画像...

株式会社テストーが2025年4月15日より、スマートフォン接続型サーモグラフィtesto 860iの販売を開始。256×192ピクセルの高画質撮影に対応し、専用アプリによる熱画像分析や温度解析が可能。IP54の保護等級と1.5メートルの落下衝撃耐性を備え、空調機器や電気設備、住宅診断など幅広い用途で活用できる実用的な製品となっている。

テストーがスマートフォン用サーモグラフィtesto 860iを発売、コンパクトで高画質な熱画像...

株式会社テストーが2025年4月15日より、スマートフォン接続型サーモグラフィtesto 860iの販売を開始。256×192ピクセルの高画質撮影に対応し、専用アプリによる熱画像分析や温度解析が可能。IP54の保護等級と1.5メートルの落下衝撃耐性を備え、空調機器や電気設備、住宅診断など幅広い用途で活用できる実用的な製品となっている。

【CVE-2025-30177】Apache CamelのCamel-Undertowに深刻な脆弱性、メッセージヘッダーインジェクションの危険性が浮上

【CVE-2025-30177】Apache CamelのCamel-Undertowに深刻な...

Apache Software Foundationが、Apache CamelのCamel-Undertowコンポーネントにおける重要な脆弱性を公開した。この脆弱性はメッセージヘッダーインジェクションに関するもので、バージョン4.10.0-4.10.3未満および4.8.0-4.8.6未満に影響を与える。攻撃者はCamel固有のヘッダーを含めることで、特定のコンポーネントの動作を変更できる可能性がある。ユーザーには最新バージョンへのアップグレードが推奨されている。

【CVE-2025-30177】Apache CamelのCamel-Undertowに深刻な...

Apache Software Foundationが、Apache CamelのCamel-Undertowコンポーネントにおける重要な脆弱性を公開した。この脆弱性はメッセージヘッダーインジェクションに関するもので、バージョン4.10.0-4.10.3未満および4.8.0-4.8.6未満に影響を与える。攻撃者はCamel固有のヘッダーを含めることで、特定のコンポーネントの動作を変更できる可能性がある。ユーザーには最新バージョンへのアップグレードが推奨されている。

【CVE-2025-3171】Project Worlds Online Lawyer Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが深刻化

【CVE-2025-3171】Project Worlds Online Lawyer Man...

Project Worlds社のOnline Lawyer Management System 1.0において、approve_lawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3171として識別されるこの脆弱性は、unblock_idパラメータの操作により引き起こされ、リモートから攻撃可能。CVSS v4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)のスコアが付与され、既に攻撃コードが公開されている状況だ。

【CVE-2025-3171】Project Worlds Online Lawyer Man...

Project Worlds社のOnline Lawyer Management System 1.0において、approve_lawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3171として識別されるこの脆弱性は、unblock_idパラメータの操作により引き起こされ、リモートから攻撃可能。CVSS v4.0で6.9(MEDIUM)、v3.1で7.3(HIGH)のスコアが付与され、既に攻撃コードが公開されている状況だ。

【CVE-2025-3204】CodeAstro Car Rental System 1.0にSQL injection脆弱性、早急な対応が必要な状況に

【CVE-2025-3204】CodeAstro Car Rental System 1.0に...

CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。

【CVE-2025-3204】CodeAstro Car Rental System 1.0に...

CodeAstro Car Rental System 1.0のreturncar.phpファイルにSQL injection脆弱性が発見され、VulDBによって公開された。CVSSスコア6.3でミディアム評価に分類されており、ID引数の操作によって遠隔からの攻撃が可能となる。既にexploit情報も公開されており、早急な対応が求められる状況となっている。CWEによる脆弱性タイプはSQL InjectionとInjectionに分類されている。

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆弱性、早急なパッチ適用が必要に

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆...

MITREはEpicor HCM 2021 1.9にSQLインジェクション脆弱性が存在することを公開した。JsonFetcher.svcエンドポイントのfilterパラメータを悪用することで、攻撃者はバックエンドデータベースで任意のSQLコマンドを実行可能となる。深刻度は9.8(Critical)と評価されており、HCM2022/2023/2024向けのセキュリティパッチが提供されている。早急なアップデートが推奨される。

【CVE-2025-22953】Epicor HCM 2021に深刻なSQLインジェクション脆...

MITREはEpicor HCM 2021 1.9にSQLインジェクション脆弱性が存在することを公開した。JsonFetcher.svcエンドポイントのfilterパラメータを悪用することで、攻撃者はバックエンドデータベースで任意のSQLコマンドを実行可能となる。深刻度は9.8(Critical)と評価されており、HCM2022/2023/2024向けのセキュリティパッチが提供されている。早急なアップデートが推奨される。

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2.8で修正完了

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2...

GitHubは2025年3月27日、慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満に格納型クロスサイトスクリプティングの脆弱性(CVE-2025-30366)が存在することを公開した。この脆弱性はpersonalizacao.phpファイルに関連しており、CVSSスコア6.2(Medium)と評価されている。WeGIAの開発元LabRedesCefetRJは、この問題に対処するためバージョン3.2.8をリリースし修正を完了している。

【CVE-2025-30366】WeGIAに深刻な格納型XSSの脆弱性が発見、バージョン3.2...

GitHubは2025年3月27日、慈善団体向けWebマネージャーWeGIAのバージョン3.2.8未満に格納型クロスサイトスクリプティングの脆弱性(CVE-2025-30366)が存在することを公開した。この脆弱性はpersonalizacao.phpファイルに関連しており、CVSSスコア6.2(Medium)と評価されている。WeGIAの開発元LabRedesCefetRJは、この問題に対処するためバージョン3.2.8をリリースし修正を完了している。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQLインジェクション脆弱性、データベース情報漏洩のリスクに早急な対応が必要

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-30372】Emlog Pro pro-2.5.7および2.5.8にSQL...

オープンソースのウェブサイト構築システムEmlogのpro-2.5.7およびpro-2.5.8において、深刻なSQLインジェクション脆弱性が発見された。search_controller.phpにおけるURLデコード処理の不備により、URLの二重エンコーディングでaddslashesを回避可能な状態となっており、ユーザーデータベースから機密情報が漏洩する危険性がある。開発チームはpro-2.5.9で修正を実施し、影響を受けるバージョンのユーザーに対して早急なアップデートを推奨している。

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョンでOS Command Injectionのリスクが発覚

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョン...

Adobe ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)にOS Command Injectionの脆弱性が発見された。CVE-2025-30289として報告されたこの脆弱性は、CVSSスコア7.5の高リスクと評価され、ユーザー操作なしで任意のコード実行が可能となる危険性がある。特権レベルが低い状態でも悪用可能なため、早急な対応が求められている。

【CVE-2025-30289】Adobe ColdFusionに重大な脆弱性、複数バージョン...

Adobe ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)にOS Command Injectionの脆弱性が発見された。CVE-2025-30289として報告されたこの脆弱性は、CVSSスコア7.5の高リスクと評価され、ユーザー操作なしで任意のコード実行が可能となる危険性がある。特権レベルが低い状態でも悪用可能なため、早急な対応が求められている。

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Android 12.0-15.0などに影響

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Androi...

MediaTek社が同社のDA機能における境界値チェックの欠如による脆弱性を公開した。この脆弱性はMT6781など15製品に影響し、Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンが対象となる。物理アクセスにより特権昇格の可能性があり、CVSSスコア6.8と評価されている。早急なパッチ適用による対策が推奨される。

【CVE-2025-20656】MediaTek製品に境界値チェック漏れの脆弱性、Androi...

MediaTek社が同社のDA機能における境界値チェックの欠如による脆弱性を公開した。この脆弱性はMT6781など15製品に影響し、Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンが対象となる。物理アクセスにより特権昇格の可能性があり、CVSSスコア6.8と評価されている。早急なパッチ適用による対策が推奨される。

【CVE-2025-30285】Adobe ColdFusion 2025.0以前のバージョンに深刻な脆弱性、デシリアライズ化の問題で任意のコード実行の危険性

【CVE-2025-30285】Adobe ColdFusion 2025.0以前のバージョン...

Adobeは2025年4月8日、ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)において重大な脆弱性を公開した。信頼できないデータのデシリアライズ化の問題により、攻撃者が悪意のあるファイルを開かせることで任意のコード実行が可能となる。CVSSスコア8.0の深刻度の高い脆弱性であり、影響を受けるバージョンのユーザーは速やかな対応が求められる。

【CVE-2025-30285】Adobe ColdFusion 2025.0以前のバージョン...

Adobeは2025年4月8日、ColdFusionの複数バージョン(2023.12、2021.18、2025.0以前)において重大な脆弱性を公開した。信頼できないデータのデシリアライズ化の問題により、攻撃者が悪意のあるファイルを開かせることで任意のコード実行が可能となる。CVSSスコア8.0の深刻度の高い脆弱性であり、影響を受けるバージョンのユーザーは速やかな対応が求められる。

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオーバーフローでリモート攻撃の危険性

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオー...

Tenda RX3バージョン16.03.13.11において、SetOnlineDevNameファイルのformSetDeviceName機能に重大な脆弱性が発見された。devName引数の操作によるスタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSS 4.0で8.7、CVSS 3.1で8.8のHigh評価を受け、早急な対応が必要とされている。

【CVE-2025-3259】Tenda RX3に致命的な脆弱性、スタックベースのバッファオー...

Tenda RX3バージョン16.03.13.11において、SetOnlineDevNameファイルのformSetDeviceName機能に重大な脆弱性が発見された。devName引数の操作によるスタックベースのバッファオーバーフローが発生する可能性があり、リモートからの攻撃が可能。CVSS 4.0で8.7、CVSS 3.1で8.8のHigh評価を受け、早急な対応が必要とされている。

【CVE-2025-3306】code-projects Blood Bank Management System 1.0にSQLインジェクションの脆弱性、医療データ漏洩のリスクに警戒

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。

【CVE-2025-3306】code-projects Blood Bank Managem...

code-projects Blood Bank Management System 1.0のdon.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3306として識別されるこの脆弱性は、fullnameパラメータの不適切な処理により発生し、CVSSスコア7.3のHigh評価を受けている。リモートからの攻撃が可能で特別な認証も不要なため、医療データの漏洩リスクが懸念される。