Tech Insights

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻撃の可能性が指摘される

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックのリスクが明らかに

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-28857】WordPress Rankchecker.io Integrationにクロスサイトリクエストフォージェリの脆弱性、格納型XSS攻撃のリスクも

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28864】Builder for Contact Form 7にCSRF脆弱性、WordPress管理者に早急な対応が必要に

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で修正完了

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクションの脆弱性、認証なしで機密情報漏洩のリスク

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で機密情報漏洩の脆弱性、範囲外読み取りのリスクに注意

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリティとメモリ安全性が向上へ

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

Razerがゲーム開発者向けプラットフォームWYVRNを発表、AIによる品質保証の効率化を実現

Razerがゲーム開発者向けプラットフォームWYVRNを発表、AIによる品質保証の効率化を実現

Razerは2025年3月19日、ゲーム開発者向けプラットフォーム「WYVRN」のベータ版提供を開始した。AI QA CopilotとAI Game Copilotを主要機能として実装し、Unreal Engine 5.5との統合が可能なSDKを提供。バグの自動検出やゲーム内ガイド機能により、開発効率の向上と品質保証プロセスの改善を実現する。

Razerがゲーム開発者向けプラットフォームWYVRNを発表、AIによる品質保証の効率化を実現

Razerは2025年3月19日、ゲーム開発者向けプラットフォーム「WYVRN」のベータ版提供を開始した。AI QA CopilotとAI Game Copilotを主要機能として実装し、Unreal Engine 5.5との統合が可能なSDKを提供。バグの自動検出やゲーム内ガイド機能により、開発効率の向上と品質保証プロセスの改善を実現する。

SUUNTOが水泳分析機能付き骨伝導イヤホンAQUAシリーズを発売、動作分析と疲労度検知でトレーニングをサポート

SUUNTOが水泳分析機能付き骨伝導イヤホンAQUAシリーズを発売、動作分析と疲労度検知でトレ...

フィンランドのSUUNTOは、水泳中の動作分析と疲労度検知が可能なIP68防水骨伝導イヤホン「SUUNTO AQUA」と「SUUNTO AQUA LIGHT」を発売。AQUAは水泳分析アルゴリズムとジャンプテストによる疲労度評価を搭載し、AQUA LIGHTは33gの軽量設計と2メートルまでの防水性能を実現。両モデルとも32GB内蔵ストレージを搭載し、水中での音楽再生に対応する。

SUUNTOが水泳分析機能付き骨伝導イヤホンAQUAシリーズを発売、動作分析と疲労度検知でトレ...

フィンランドのSUUNTOは、水泳中の動作分析と疲労度検知が可能なIP68防水骨伝導イヤホン「SUUNTO AQUA」と「SUUNTO AQUA LIGHT」を発売。AQUAは水泳分析アルゴリズムとジャンプテストによる疲労度評価を搭載し、AQUA LIGHTは33gの軽量設計と2メートルまでの防水性能を実現。両モデルとも32GB内蔵ストレージを搭載し、水中での音楽再生に対応する。

株式会社T-trustがAI相続登記サービス「TSUMUGI」をリリース、最短5分で名義変更手続きが可能に

株式会社T-trustがAI相続登記サービス「TSUMUGI」をリリース、最短5分で名義変更手...

株式会社T-trustは相続不動産の名義変更をAIでサポートするオンラインサービス「相続ネットTSUMUGI」を2025年3月24日に正式リリースした。約10か月間のテスト運用を経て改善を重ね、最短5分での書類作成を実現。完全サポート型のゴールドプラン(50,000円)と自身で書類収集を行うシルバープラン(10,000円)の2つのプランを提供し、2024年4月からの相続登記義務化にも対応している。

株式会社T-trustがAI相続登記サービス「TSUMUGI」をリリース、最短5分で名義変更手...

株式会社T-trustは相続不動産の名義変更をAIでサポートするオンラインサービス「相続ネットTSUMUGI」を2025年3月24日に正式リリースした。約10か月間のテスト運用を経て改善を重ね、最短5分での書類作成を実現。完全サポート型のゴールドプラン(50,000円)と自身で書類収集を行うシルバープラン(10,000円)の2つのプランを提供し、2024年4月からの相続登記義務化にも対応している。

paizaラーニング学校フリーパスが648校で導入完了、プログラミング教育のデジタル化が加速

paizaラーニング学校フリーパスが648校で導入完了、プログラミング教育のデジタル化が加速

paiza株式会社が展開するeラーニングプログラミング学習サービス「paizaラーニング 学校フリーパス」の2024年度実績が発表された。申込学校数が648校、クーポン発行数が20万人を突破し、全国の教育機関でプログラミング教育や成績評価に活用されている。特に高校での利用は2022年度比で約2倍に増加しており、デジタル教育の普及を牽引している。

paizaラーニング学校フリーパスが648校で導入完了、プログラミング教育のデジタル化が加速

paiza株式会社が展開するeラーニングプログラミング学習サービス「paizaラーニング 学校フリーパス」の2024年度実績が発表された。申込学校数が648校、クーポン発行数が20万人を突破し、全国の教育機関でプログラミング教育や成績評価に活用されている。特に高校での利用は2022年度比で約2倍に増加しており、デジタル教育の普及を牽引している。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診断で開発セキュリティの効率化を実現

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

ELSOUL LABOがSLVのSolanaメインネットバリデータ対応をリリース、安全なノード運用が可能に

ELSOUL LABOがSLVのSolanaメインネットバリデータ対応をリリース、安全なノード...

ELSOUL LABO B.V.とValidators DAOが、オープンソースのSolana開発ツール「SLV」においてメインネットバリデータおよびRPC運用への対応をリリースした。新バージョンではノード側に秘密鍵を置かないリモート管理システムを実装し、Geyser gRPC PluginやJito-Relayerにも対応。複数ノードの一括管理や自動トラブルシューティング機能により、安全で効率的なノード運用を実現する。

ELSOUL LABOがSLVのSolanaメインネットバリデータ対応をリリース、安全なノード...

ELSOUL LABO B.V.とValidators DAOが、オープンソースのSolana開発ツール「SLV」においてメインネットバリデータおよびRPC運用への対応をリリースした。新バージョンではノード側に秘密鍵を置かないリモート管理システムを実装し、Geyser gRPC PluginやJito-Relayerにも対応。複数ノードの一括管理や自動トラブルシューティング機能により、安全で効率的なノード運用を実現する。

Windows 11 Insider Preview Build 22635.5097がBetaチャネルで公開、File Explorerのアクセシビリティが大幅に向上

Windows 11 Insider Preview Build 22635.5097がBet...

MicrosoftがWindows 11 Insider Preview Build 22635.5097をBetaチャネル向けにリリース。File Explorerのテキストスケーリング機能が強化され、警告やエラーメッセージダイアログでのアクセシビリティが向上。また、タスクバーの多言語対応の改善やWindows Sandboxの起動問題も修正され、全体的な使用体験が改善された。

Windows 11 Insider Preview Build 22635.5097がBet...

MicrosoftがWindows 11 Insider Preview Build 22635.5097をBetaチャネル向けにリリース。File Explorerのテキストスケーリング機能が強化され、警告やエラーメッセージダイアログでのアクセシビリティが向上。また、タスクバーの多言語対応の改善やWindows Sandboxの起動問題も修正され、全体的な使用体験が改善された。

Azure Test PlansがJava、JS、Pythonの自動テストに対応、テスト管理の効率化を実現

Azure Test PlansがJava、JS、Pythonの自動テストに対応、テスト管理の...

MicrosoftはAzure Test Plansにおいて、Java/JUnit、JS(Jest)、Python(PyTest)による自動テストのサポートを開始した。従来の.NETフレームワークに加え、これらの言語でのテストケースの関連付けと実行が可能になり、ソフトウェアテストプロセスの管理性が向上。新しいAzure Test Plan taskによって、自動テストと手動テストを組み合わせた柔軟な実行環境を構築できる。

Azure Test PlansがJava、JS、Pythonの自動テストに対応、テスト管理の...

MicrosoftはAzure Test Plansにおいて、Java/JUnit、JS(Jest)、Python(PyTest)による自動テストのサポートを開始した。従来の.NETフレームワークに加え、これらの言語でのテストケースの関連付けと実行が可能になり、ソフトウェアテストプロセスの管理性が向上。新しいAzure Test Plan taskによって、自動テストと手動テストを組み合わせた柔軟な実行環境を構築できる。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発見、管理者機能に深刻な影響

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

NVIDIAがOmniverse Blueprintを拡張、産業用AIプラットフォームの統合基盤として機能を強化

NVIDIAがOmniverse Blueprintを拡張、産業用AIプラットフォームの統合基...

NVIDIAが産業用AIの発展を加速させるOmniverse Blueprintの新機能を発表。AnsysやDatabricks、オムロンなど主要企業がプラットフォームを統合し、ロボット制御やデジタルツインの分野で効率的なシミュレーションと実装を実現。製造業や倉庫管理など多様な産業分野でのAI活用を推進する基盤として期待が高まっている。

NVIDIAがOmniverse Blueprintを拡張、産業用AIプラットフォームの統合基...

NVIDIAが産業用AIの発展を加速させるOmniverse Blueprintの新機能を発表。AnsysやDatabricks、オムロンなど主要企業がプラットフォームを統合し、ロボット制御やデジタルツインの分野で効率的なシミュレーションと実装を実現。製造業や倉庫管理など多様な産業分野でのAI活用を推進する基盤として期待が高まっている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れが深刻な事態に

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1.03から6.1.03.05まで影響

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、データベース製品GoldenDBにおいて権限管理の脆弱性(CVE-2025-26705)を発見したことを公開した。この脆弱性は権限昇格を可能にする問題で、バージョン6.1.03から6.1.03.05に影響する。CVSS3.1スコアは5.3のミディアムレベルで、ネットワーク経由の攻撃が可能だが、ユーザーインターフェースの操作が必要とされている。

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、データベース製品GoldenDBにおいて権限管理の脆弱性(CVE-2025-26705)を発見したことを公開した。この脆弱性は権限昇格を可能にする問題で、バージョン6.1.03から6.1.03.05に影響する。CVSS3.1スコアは5.3のミディアムレベルで、ネットワーク経由の攻撃が可能だが、ユーザーインターフェースの操作が必要とされている。

【CVE-2025-28871】WordPress用Block Spam By Math Reloaded 2.2.4にXSS脆弱性、セキュリティアップデートの適用が必要に

【CVE-2025-28871】WordPress用Block Spam By Math Re...

WordPressプラグイン「Block Spam By Math Reloaded」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は永続型XSSに分類され、バージョン2.2.4以前の全バージョンに影響を与える。CVSSスコアは5.9でMedium評価とされており、攻撃には高い特権レベルとユーザーの操作が必要となる。Patchstack Allianceに所属するNabil Irawanによって発見され、迅速な対応が求められている。

【CVE-2025-28871】WordPress用Block Spam By Math Re...

WordPressプラグイン「Block Spam By Math Reloaded」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は永続型XSSに分類され、バージョン2.2.4以前の全バージョンに影響を与える。CVSSスコアは5.9でMedium評価とされており、攻撃には高い特権レベルとユーザーの操作が必要となる。Patchstack Allianceに所属するNabil Irawanによって発見され、迅速な対応が求められている。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderにクロスサイトスクリプティングの脆弱性、CVSS6.5で中程度の深刻度と評価

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な脆弱性、クロスサイトリクエストフォージェリの悪用が可能に

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェクション脆弱性、データベースからの情報漏洩のリスク

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセキュリティを強化

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセ...

米Googleは2025年3月19日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv134.0.6998.117/.118、Linux環境にv134.0.6998.117を展開。Google Lensの解放後メモリ利用の脆弱性(CVE-2025-2476)を含む2件のセキュリティ問題に対処。特にGoogle Lens脆弱性は深刻度が最高レベルで、早急なアップデートが推奨される。

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセ...

米Googleは2025年3月19日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv134.0.6998.117/.118、Linux環境にv134.0.6998.117を展開。Google Lensの解放後メモリ利用の脆弱性(CVE-2025-2476)を含む2件のセキュリティ問題に対処。特にGoogle Lens脆弱性は深刻度が最高レベルで、早急なアップデートが推奨される。

SmartHRが管理部門向けメッセージ機能を提供開始、従業員との直接コミュニケーションが可能に

SmartHRが管理部門向けメッセージ機能を提供開始、従業員との直接コミュニケーションが可能に

株式会社SmartHRがクラウド型人事労務ソフトウェア「SmartHR」に新機能を追加。管理部門が従業員に直接メッセージを送信できる「メッセージ」機能の提供を3月18日より開始する。テキストメッセージや各種ファイルの送付が可能で、既読確認機能も搭載。スマートフォンアプリとの連携により、従業員とのコミュニケーション効率が大幅に向上する見込みだ。

SmartHRが管理部門向けメッセージ機能を提供開始、従業員との直接コミュニケーションが可能に

株式会社SmartHRがクラウド型人事労務ソフトウェア「SmartHR」に新機能を追加。管理部門が従業員に直接メッセージを送信できる「メッセージ」機能の提供を3月18日より開始する。テキストメッセージや各種ファイルの送付が可能で、既読確認機能も搭載。スマートフォンアプリとの連携により、従業員とのコミュニケーション効率が大幅に向上する見込みだ。