Tech Insights

【CVE-2025-0428】WordPress用プラグインAI Power: Complete AI Packにデシリアライズの脆弱性が発見、管理者権限で悪用の可能性

【CVE-2025-0428】WordPress用プラグインAI Power: Complet...

WordFenceは2025年1月22日、WordPressプラグイン「AI Power: Complete AI Pack」のバージョン1.8.96以下にPHPオブジェクトインジェクションの脆弱性が存在することを公開。wpaicg_export_prompts関数でPHPオブジェクトの注入が可能であり、追加のプラグインやテーマを介してPOPチェーンが存在する場合、任意のファイルの削除や機密データの取得、コードの実行が可能になる可能性がある。

【CVE-2025-0428】WordPress用プラグインAI Power: Complet...

WordFenceは2025年1月22日、WordPressプラグイン「AI Power: Complete AI Pack」のバージョン1.8.96以下にPHPオブジェクトインジェクションの脆弱性が存在することを公開。wpaicg_export_prompts関数でPHPオブジェクトの注入が可能であり、追加のプラグインやテーマを介してPOPチェーンが存在する場合、任意のファイルの削除や機密データの取得、コードの実行が可能になる可能性がある。

【CVE-2025-0429】AI Power: Complete AI Packに深刻な脆弱性、管理者権限で悪用の可能性

【CVE-2025-0429】AI Power: Complete AI Packに深刻な脆弱...

WordPressプラグイン「AI Power: Complete AI Pack」のバージョン1.8.96以前に、PHPオブジェクトインジェクションの脆弱性が発見された。この脆弱性は管理者権限を持つユーザーによって悪用される可能性があり、追加のプラグインやテーマが存在する環境では、任意のファイル削除や機密データの取得、コード実行などのリスクが指摘されている。

【CVE-2025-0429】AI Power: Complete AI Packに深刻な脆弱...

WordPressプラグイン「AI Power: Complete AI Pack」のバージョン1.8.96以前に、PHPオブジェクトインジェクションの脆弱性が発見された。この脆弱性は管理者権限を持つユーザーによって悪用される可能性があり、追加のプラグインやテーマが存在する環境では、任意のファイル削除や機密データの取得、コード実行などのリスクが指摘されている。

【CVE-2024-13360】AI Power: Complete AI Pack 1.8.96以前にSSRF脆弱性、認証済みユーザーによる内部サービスへの不正アクセスが可能に

【CVE-2024-13360】AI Power: Complete AI Pack 1.8....

WordPressプラグインのAI Power: Complete AI Packにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVSSスコア5.4(Medium)と評価されたこの脆弱性は、バージョン1.8.96以前の全バージョンに影響を与え、認証済みユーザー(Subscriber以上)が内部サービスに対して任意のWebリクエストを送信できる状態となっている。脆弱性はwpaicg_troubleshoot_add_vector関数に存在することが確認された。

【CVE-2024-13360】AI Power: Complete AI Pack 1.8....

WordPressプラグインのAI Power: Complete AI Packにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVSSスコア5.4(Medium)と評価されたこの脆弱性は、バージョン1.8.96以前の全バージョンに影響を与え、認証済みユーザー(Subscriber以上)が内部サービスに対して任意のWebリクエストを送信できる状態となっている。脆弱性はwpaicg_troubleshoot_add_vector関数に存在することが確認された。

【CVE-2024-13319】Themify Builderに反射型XSS脆弱性、バージョン7.6.5以前のすべてのバージョンが影響を受ける状況に

【CVE-2024-13319】Themify Builderに反射型XSS脆弱性、バージョン...

WordPressプラグインのThemify Builderにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13319】として識別され、バージョン7.6.5以前のすべてのバージョンに影響を及ぼす。add_query_arg関数でのエスケープ処理の不備により、未認証の攻撃者が特別に細工されたURLを通じて任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

【CVE-2024-13319】Themify Builderに反射型XSS脆弱性、バージョン...

WordPressプラグインのThemify Builderにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13319】として識別され、バージョン7.6.5以前のすべてのバージョンに影響を及ぼす。add_query_arg関数でのエスケープ処理の不備により、未認証の攻撃者が特別に細工されたURLを通じて任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価されている。

学生ゲームクリエイター甲子園2024で総合大賞発表、HAL名古屋チームの作品がゲーム開発の頂点に輝く

学生ゲームクリエイター甲子園2024で総合大賞発表、HAL名古屋チームの作品がゲーム開発の頂点に輝く

株式会社ゲームクリエイターズギルドが主催する学生向け成長型ゲームコンテスト「ゲームクリエイター甲子園2024」の受賞作品が発表された。約3400名の学生から1001作品の応募があり、HAL名古屋の「すぽっとスポット!」が総合大賞を受賞。発表授賞式には900名を超える来場者が集まり、約30社の企業による会社説明やポートフォリオ添削も実施された。学生ゲーム開発の新たな可能性を示す場となっている。

学生ゲームクリエイター甲子園2024で総合大賞発表、HAL名古屋チームの作品がゲーム開発の頂点に輝く

株式会社ゲームクリエイターズギルドが主催する学生向け成長型ゲームコンテスト「ゲームクリエイター甲子園2024」の受賞作品が発表された。約3400名の学生から1001作品の応募があり、HAL名古屋の「すぽっとスポット!」が総合大賞を受賞。発表授賞式には900名を超える来場者が集まり、約30社の企業による会社説明やポートフォリオ添削も実施された。学生ゲーム開発の新たな可能性を示す場となっている。

学研エデュケーショナルが保護者向け非認知能力コンテンツを提供開始、子育ての悩みを専門家が解決へ

学研エデュケーショナルが保護者向け非認知能力コンテンツを提供開始、子育ての悩みを専門家が解決へ

株式会社学研エデュケーショナルは2025年1月より、学研の教室に通う保護者向けに非認知能力コンテンツの提供を開始した。第1弾として非認知能力育成のパイオニアであるボーク重子氏による連載「おうちでもっと!非認知能力」を会報誌で開始し、その内容を解説する動画シリーズも同時公開される。保護者の子育ての悩みを非認知能力の観点から解決することを目指している。

学研エデュケーショナルが保護者向け非認知能力コンテンツを提供開始、子育ての悩みを専門家が解決へ

株式会社学研エデュケーショナルは2025年1月より、学研の教室に通う保護者向けに非認知能力コンテンツの提供を開始した。第1弾として非認知能力育成のパイオニアであるボーク重子氏による連載「おうちでもっと!非認知能力」を会報誌で開始し、その内容を解説する動画シリーズも同時公開される。保護者の子育ての悩みを非認知能力の観点から解決することを目指している。

IDホールディングスとBBSecが包括的なサイバーセキュリティサービスを開始、複数層での防御体制を強化

IDホールディングスとBBSecが包括的なサイバーセキュリティサービスを開始、複数層での防御体...

株式会社IDホールディングスが2025年1月より包括的なサイバーセキュリティサービスの提供を開始した。株式会社ブロードバンドセキュリティとの資本業務提携を通じて、複数の防御層を組み合わせたセキュリティ対策を実現。24時間365日体制でのデジタルフォレンジックサービスにより、サイバー攻撃への迅速な対応と被害の低減を可能にした。

IDホールディングスとBBSecが包括的なサイバーセキュリティサービスを開始、複数層での防御体...

株式会社IDホールディングスが2025年1月より包括的なサイバーセキュリティサービスの提供を開始した。株式会社ブロードバンドセキュリティとの資本業務提携を通じて、複数の防御層を組み合わせたセキュリティ対策を実現。24時間365日体制でのデジタルフォレンジックサービスにより、サイバー攻撃への迅速な対応と被害の低減を可能にした。

GoogleがAndroid16ベータ版を公開、Pixel端末向けOTA更新と新コーデック対応を実装

GoogleがAndroid16ベータ版を公開、Pixel端末向けOTA更新と新コーデック対応を実装

Googleは2025年1月23日、Android 16の最初のベータ版をリリースした。サポート対象Pixel端末ではDeveloper PreviewからのOTA更新が可能で、その他の端末ではAndroid Studioエミュレータでのテストを推奨。主要新機能としてAPVコーデックによる高品質動画処理や縦書きテキストの基盤整備、大画面向けApp Adaptivityの強化などを実装している。プラットフォーム安定化は2025年3月を予定し、正式リリースは第2四半期となる見込みだ。

GoogleがAndroid16ベータ版を公開、Pixel端末向けOTA更新と新コーデック対応を実装

Googleは2025年1月23日、Android 16の最初のベータ版をリリースした。サポート対象Pixel端末ではDeveloper PreviewからのOTA更新が可能で、その他の端末ではAndroid Studioエミュレータでのテストを推奨。主要新機能としてAPVコーデックによる高品質動画処理や縦書きテキストの基盤整備、大画面向けApp Adaptivityの強化などを実装している。プラットフォーム安定化は2025年3月を予定し、正式リリースは第2四半期となる見込みだ。

カシオ計算機が大学入学共通テスト新科目「情報Ⅰ」対応の電子辞書XD-SA4900を発売、個別学習スタイルに合わせたカスタマイズが可能に

カシオ計算機が大学入学共通テスト新科目「情報Ⅰ」対応の電子辞書XD-SA4900を発売、個別学...

カシオ計算機は2024年2月6日、大学入学共通テストの新たな出題科目「情報Ⅰ」に対応した高校生向け電子辞書XD-SA4900を発売する。河合出版の「高等学校 情報I 重要キーワード736」や山川出版社の教材を収録し、コンテンツの入れ替えや検索優先設定機能を搭載。価格はオープンプライスで、直販価格は55,000円となっている。

カシオ計算機が大学入学共通テスト新科目「情報Ⅰ」対応の電子辞書XD-SA4900を発売、個別学...

カシオ計算機は2024年2月6日、大学入学共通テストの新たな出題科目「情報Ⅰ」に対応した高校生向け電子辞書XD-SA4900を発売する。河合出版の「高等学校 情報I 重要キーワード736」や山川出版社の教材を収録し、コンテンツの入れ替えや検索優先設定機能を搭載。価格はオープンプライスで、直販価格は55,000円となっている。

【CVE-2024-56266】WordPress用MP3 Audio Playerプラグインにアクセス制御の脆弱性、バージョン5.8以前に影響

【CVE-2024-56266】WordPress用MP3 Audio Playerプラグイン...

Patchstack社がSonaar Music社のWordPress用プラグイン「MP3 Audio Player for Music、Radio & Podcast by Sonaar」にアクセス制御の脆弱性が存在することを公開。バージョン5.8以前に影響を与え、CVSSスコアは6.3でミディアムレベルの深刻度と評価されている。CWEではCWE-862として分類され、アクセス制御リストによる適切な制限が実装されていない問題が指摘されている。

【CVE-2024-56266】WordPress用MP3 Audio Playerプラグイン...

Patchstack社がSonaar Music社のWordPress用プラグイン「MP3 Audio Player for Music、Radio & Podcast by Sonaar」にアクセス制御の脆弱性が存在することを公開。バージョン5.8以前に影響を与え、CVSSスコアは6.3でミディアムレベルの深刻度と評価されている。CWEではCWE-862として分類され、アクセス制御リストによる適切な制限が実装されていない問題が指摘されている。

【CVE-2024-57938】Linuxカーネルのnet/sctpモジュールで整数オーバーフロー脆弱性が発見、複数バージョンのアップデートが必要に

【CVE-2024-57938】Linuxカーネルのnet/sctpモジュールで整数オーバーフ...

Linuxカーネルの開発チームは、SCTPプロトコルのアソシエーション初期化処理における重大な脆弱性を公開した。max_autocloseパラメータがUINT_MAXに設定された場合、sctp_association_init関数で整数オーバーフローが発生する可能性がある。この問題は、Linux 3.13以降の特定バージョンに影響を与えており、複数のバージョンでセキュリティアップデートが提供されている。

【CVE-2024-57938】Linuxカーネルのnet/sctpモジュールで整数オーバーフ...

Linuxカーネルの開発チームは、SCTPプロトコルのアソシエーション初期化処理における重大な脆弱性を公開した。max_autocloseパラメータがUINT_MAXに設定された場合、sctp_association_init関数で整数オーバーフローが発生する可能性がある。この問題は、Linux 3.13以降の特定バージョンに影響を与えており、複数のバージョンでセキュリティアップデートが提供されている。

【CVE-2025-0205】code-projects Online Shoe Store 1.0に深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-0205】code-projects Online Shoe Store ...

VulDBが2025年1月4日、code-projects Online Shoe Store 1.0のdetails2.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは中程度の深刻度を示し、特権レベルは低いものの攻撃の複雑さも低く、リモートからの攻撃が可能な状態となっている。この脆弱性は【CVE-2025-0205】として識別され、機密性や完全性、可用性への影響が懸念されている。

【CVE-2025-0205】code-projects Online Shoe Store ...

VulDBが2025年1月4日、code-projects Online Shoe Store 1.0のdetails2.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。CVSSスコアは中程度の深刻度を示し、特権レベルは低いものの攻撃の複雑さも低く、リモートからの攻撃が可能な状態となっている。この脆弱性は【CVE-2025-0205】として識別され、機密性や完全性、可用性への影響が懸念されている。

【CVE-2025-0203】Student Management System 1.0にSQLインジェクションの脆弱性、教育機関のセキュリティ対策が急務に

【CVE-2025-0203】Student Management System 1.0にSQ...

code-projects社のStudent Management System 1.0において、DbFunction.phpのshowSubject1関数にSQLインジェクションの脆弱性が発見された。CVSSスコアでは中程度の深刻度と評価されているものの、リモートからの攻撃が可能で既に公開されている。教育機関で使用される可能性が高いシステムであることから、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-0203】Student Management System 1.0にSQ...

code-projects社のStudent Management System 1.0において、DbFunction.phpのshowSubject1関数にSQLインジェクションの脆弱性が発見された。CVSSスコアでは中程度の深刻度と評価されているものの、リモートからの攻撃が可能で既に公開されている。教育機関で使用される可能性が高いシステムであることから、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-0221】IOBit Protected Folder 1.3.0以前にNULLポインタ参照の脆弱性、サービス拒否攻撃のリスクが明らかに

【CVE-2025-0221】IOBit Protected Folder 1.3.0以前にN...

IOBit Protected Folderのバージョン1.3.0以前において、pffilter.sysのIOCTLハンドラーに深刻な脆弱性が発見された。NULLポインタ参照の問題により、ローカル環境からの攻撃でサービス拒否状態を引き起こす可能性がある。CVSS 4.0で6.8(中程度)と評価されており、開発元のIOBitからの対応は現時点で得られていない状況が続いている。

【CVE-2025-0221】IOBit Protected Folder 1.3.0以前にN...

IOBit Protected Folderのバージョン1.3.0以前において、pffilter.sysのIOCTLハンドラーに深刻な脆弱性が発見された。NULLポインタ参照の問題により、ローカル環境からの攻撃でサービス拒否状態を引き起こす可能性がある。CVSS 4.0で6.8(中程度)と評価されており、開発元のIOBitからの対応は現時点で得られていない状況が続いている。

【CVE-2025-21658】LinuxカーネルのBtrfsにNULLポインタ参照の脆弱性、データ破損時のシステムクラッシュに注意

【CVE-2025-21658】LinuxカーネルのBtrfsにNULLポインタ参照の脆弱性、...

kernel.orgは2025年1月21日、LinuxカーネルのBtrfsファイルシステムにおいて、extent treeが破損した状態でスクラブ操作を実行した際にNULLポインタ参照が発生する脆弱性を公開した。この問題はLinux 5.11から6.6.71までの全てのバージョンに影響を与えるため、Linux 6.6.72以降への更新が推奨される。修正パッチではscrub_find_fill_first_stripe関数に適切なエラーチェックが追加されている。

【CVE-2025-21658】LinuxカーネルのBtrfsにNULLポインタ参照の脆弱性、...

kernel.orgは2025年1月21日、LinuxカーネルのBtrfsファイルシステムにおいて、extent treeが破損した状態でスクラブ操作を実行した際にNULLポインタ参照が発生する脆弱性を公開した。この問題はLinux 5.11から6.6.71までの全てのバージョンに影響を与えるため、Linux 6.6.72以降への更新が推奨される。修正パッチではscrub_find_fill_first_stripe関数に適切なエラーチェックが追加されている。

【CVE-2025-21329】WindowsのMapUrlToZoneにセキュリティ機能バイパスの脆弱性、複数バージョンに影響

【CVE-2025-21329】WindowsのMapUrlToZoneにセキュリティ機能バイ...

MicrosoftはWindows製品に存在するMapUrlToZoneのセキュリティ機能バイパスの脆弱性を公開した。CVSSスコア4.3で中程度の深刻度と評価され、Windows Server 2008からWindows 11 Version 24H2まで幅広いバージョンに影響。攻撃の複雑さは低く特権は不要だが、ユーザーの操作が必要とされており、情報漏洩のリスクが存在する。各製品の最新ビルドへのアップデートで対策可能。

【CVE-2025-21329】WindowsのMapUrlToZoneにセキュリティ機能バイ...

MicrosoftはWindows製品に存在するMapUrlToZoneのセキュリティ機能バイパスの脆弱性を公開した。CVSSスコア4.3で中程度の深刻度と評価され、Windows Server 2008からWindows 11 Version 24H2まで幅広いバージョンに影響。攻撃の複雑さは低く特権は不要だが、ユーザーの操作が必要とされており、情報漏洩のリスクが存在する。各製品の最新ビルドへのアップデートで対策可能。

【CVE-2025-21315】MicrosoftがBrokering File Systemの特権昇格の脆弱性を公開、Windows Server 2025などに影響

【CVE-2025-21315】MicrosoftがBrokering File System...

Microsoftは2025年1月14日、Windows Server 2025やWindows 11 Version 24H2などの製品において、Microsoft Brokering File Systemの特権昇格の脆弱性を公開した。この脆弱性は【CVE-2025-21315】として識別され、Use After Free(CWE-416)に分類される深刻な問題として報告されている。CVSSスコアは7.8(High)であり、攻撃元区分はローカル、攻撃条件の複雑さは高く、特権レベルは低いことが特徴となっている。

【CVE-2025-21315】MicrosoftがBrokering File System...

Microsoftは2025年1月14日、Windows Server 2025やWindows 11 Version 24H2などの製品において、Microsoft Brokering File Systemの特権昇格の脆弱性を公開した。この脆弱性は【CVE-2025-21315】として識別され、Use After Free(CWE-416)に分類される深刻な問題として報告されている。CVSSスコアは7.8(High)であり、攻撃元区分はローカル、攻撃条件の複雑さは高く、特権レベルは低いことが特徴となっている。

【CVE-2025-21316】Windowsカーネルにメモリ情報漏洩の脆弱性、Windows 10からServer 2025まで広範な影響

【CVE-2025-21316】Windowsカーネルにメモリ情報漏洩の脆弱性、Windows...

Microsoftは2025年1月14日、Windowsカーネルにメモリ情報が漏洩する脆弱性を公開した。CVE-2025-21316として識別されるこの脆弱性は、Windows 10 Version 1507から最新のWindows Server 2025まで影響し、CVSS v3.1で中程度の深刻度5.5と評価されている。ローカルでの攻撃が必要だが、ユーザー操作なしで悪用可能という特徴がある。

【CVE-2025-21316】Windowsカーネルにメモリ情報漏洩の脆弱性、Windows...

Microsoftは2025年1月14日、Windowsカーネルにメモリ情報が漏洩する脆弱性を公開した。CVE-2025-21316として識別されるこの脆弱性は、Windows 10 Version 1507から最新のWindows Server 2025まで影響し、CVSS v3.1で中程度の深刻度5.5と評価されている。ローカルでの攻撃が必要だが、ユーザー操作なしで悪用可能という特徴がある。

【CVE-2025-21328】MicrosoftがWindowsのMapUrlToZone脆弱性を公開、広範なバージョンに影響

【CVE-2025-21328】MicrosoftがWindowsのMapUrlToZone脆...

Microsoftは2025年1月14日、WindowsシステムにおけるMapUrlToZoneセキュリティ機能のバイパス脆弱性を公開した。この脆弱性はWindows 10、Windows 11、およびWindows Serverの広範なバージョンに影響を与え、CVSSスコア4.3のミディアムリスクと評価されている。攻撃にはユーザーの関与が必要だが、ネットワークからの攻撃が可能であり、システム管理者による早急な対応が求められる。

【CVE-2025-21328】MicrosoftがWindowsのMapUrlToZone脆...

Microsoftは2025年1月14日、WindowsシステムにおけるMapUrlToZoneセキュリティ機能のバイパス脆弱性を公開した。この脆弱性はWindows 10、Windows 11、およびWindows Serverの広範なバージョンに影響を与え、CVSSスコア4.3のミディアムリスクと評価されている。攻撃にはユーザーの関与が必要だが、ネットワークからの攻撃が可能であり、システム管理者による早急な対応が求められる。

【CVE-2025-21318】Windowsカーネルメモリに情報漏洩の脆弱性、広範なバージョンのアップデートが必要に

【CVE-2025-21318】Windowsカーネルメモリに情報漏洩の脆弱性、広範なバージョ...

Microsoftは2025年1月14日、Windowsカーネルメモリの情報漏洩の脆弱性【CVE-2025-21318】を公開した。Windows 10 Version 1507からWindows 11 Version 24H2まで、さらにWindows Server 2012からWindows Server 2025までの広範なバージョンが影響を受ける。CVSS値は5.5で重要度は「MEDIUM」、CWE-532に分類される脆弱性となっており、早急なアップデートが推奨される。

【CVE-2025-21318】Windowsカーネルメモリに情報漏洩の脆弱性、広範なバージョ...

Microsoftは2025年1月14日、Windowsカーネルメモリの情報漏洩の脆弱性【CVE-2025-21318】を公開した。Windows 10 Version 1507からWindows 11 Version 24H2まで、さらにWindows Server 2012からWindows Server 2025までの広範なバージョンが影響を受ける。CVSS値は5.5で重要度は「MEDIUM」、CWE-532に分類される脆弱性となっており、早急なアップデートが推奨される。

マテリアルデジタルがサイバーセキュリティサービス「マモレル」を開始、企業のブランド価値保護と信頼構築の実現へ

マテリアルデジタルがサイバーセキュリティサービス「マモレル」を開始、企業のブランド価値保護と信...

マテリアルデジタルは2025年1月24日より法人向けサイバーセキュリティサービス「マモレル」の提供を開始した。脆弱性診断や健全性チェックによる早期検知・特定に加え、マテリアル社と連携した危機管理コンサルティングやクライシスコミュニケーション支援まで、包括的なPR活動のサポートを実現。増加するサイバー攻撃からブランド価値を保護し、企業の信頼構築に貢献する。

マテリアルデジタルがサイバーセキュリティサービス「マモレル」を開始、企業のブランド価値保護と信...

マテリアルデジタルは2025年1月24日より法人向けサイバーセキュリティサービス「マモレル」の提供を開始した。脆弱性診断や健全性チェックによる早期検知・特定に加え、マテリアル社と連携した危機管理コンサルティングやクライシスコミュニケーション支援まで、包括的なPR活動のサポートを実現。増加するサイバー攻撃からブランド価値を保護し、企業の信頼構築に貢献する。

【CVE-2025-21320】Windowsカーネルメモリに深刻な情報漏洩の脆弱性、Windows 10から最新バージョンまで影響

【CVE-2025-21320】Windowsカーネルメモリに深刻な情報漏洩の脆弱性、Wind...

Microsoftは2025年1月14日、WindowsカーネルメモリにおけるCVE-2025-21320として識別される情報漏洩の脆弱性を公開した。この脆弱性はWindows 10からWindows Server 2025まで影響を与え、CVSSスコア5.5と評価される。攻撃には特権が必要だが複雑さは低く、特にWindows Server環境での対策が急務となっている。影響を受けるプラットフォームは32ビット、x64、ARM64と多岐にわたり、早急な対応が求められる。

【CVE-2025-21320】Windowsカーネルメモリに深刻な情報漏洩の脆弱性、Wind...

Microsoftは2025年1月14日、WindowsカーネルメモリにおけるCVE-2025-21320として識別される情報漏洩の脆弱性を公開した。この脆弱性はWindows 10からWindows Server 2025まで影響を与え、CVSSスコア5.5と評価される。攻撃には特権が必要だが複雑さは低く、特にWindows Server環境での対策が急務となっている。影響を受けるプラットフォームは32ビット、x64、ARM64と多岐にわたり、早急な対応が求められる。

【CVE-2024-13215】Elementor Addon Elements 1.13.10以前に情報漏洩の脆弱性、認証済みユーザーによる機密情報アクセスのリスクが浮上

【CVE-2024-13215】Elementor Addon Elements 1.13.1...

WordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.10以前に重大な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが非公開テンプレートデータや下書き、予約投稿などの機密情報にアクセス可能となる。CVSSスコア4.3の中程度の脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13215】Elementor Addon Elements 1.13.1...

WordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.10以前に重大な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが非公開テンプレートデータや下書き、予約投稿などの機密情報にアクセス可能となる。CVSSスコア4.3の中程度の脆弱性として評価され、早急な対応が求められている。

【CVE-2024-57775】JFinalOAにSQL injection脆弱性、v2025.01.01より前のバージョンで深刻な影響の可能性

【CVE-2024-57775】JFinalOAにSQL injection脆弱性、v2025...

MITREは2025年1月16日、JFinalOAのv2025.01.01より前のバージョンにおいて、getWorkFlowHis?insidコンポーネントを介したSQL injection脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-57775】として識別され、データベースへの不正アクセスを可能にし、組織の機密情報漏洩につながる可能性がある深刻な問題となっている。

【CVE-2024-57775】JFinalOAにSQL injection脆弱性、v2025...

MITREは2025年1月16日、JFinalOAのv2025.01.01より前のバージョンにおいて、getWorkFlowHis?insidコンポーネントを介したSQL injection脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-57775】として識別され、データベースへの不正アクセスを可能にし、組織の機密情報漏洩につながる可能性がある深刻な問題となっている。

【CVE-2024-57575】Tenda AC18 V15.03.05.19にスタックオーバーフロー脆弱性、Wi-Fi設定機能に深刻な問題

【CVE-2024-57575】Tenda AC18 V15.03.05.19にスタックオーバ...

MITREは2025年1月16日、Tenda AC18 V15.03.05.19においてform_fast_setting_wifi_set関数のssidパラメータに存在するスタックオーバーフローの脆弱性を【CVE-2024-57575】として公開した。この脆弱性により、攻撃者による不正なデータ送信でシステムに深刻な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-57575】Tenda AC18 V15.03.05.19にスタックオーバ...

MITREは2025年1月16日、Tenda AC18 V15.03.05.19においてform_fast_setting_wifi_set関数のssidパラメータに存在するスタックオーバーフローの脆弱性を【CVE-2024-57575】として公開した。この脆弱性により、攻撃者による不正なデータ送信でシステムに深刻な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-57770】JFinalOAでSQLインジェクションの脆弱性が発見、v2025.01.01で対策済み

【CVE-2024-57770】JFinalOAでSQLインジェクションの脆弱性が発見、v20...

オープンソースのプロジェクト管理システムJFinalOAにおいて、SQLインジェクションの脆弱性が発見された。この脆弱性はv2025.01.01より前のバージョンに存在し、apply/save#oaContractApply.idコンポーネントを介して攻撃が可能。CVSSスコア8.8のHigh評価で、特権は必要だがユーザー操作不要。機密性・整合性・可用性への影響が高く、自動化された攻撃も可能とされている。

【CVE-2024-57770】JFinalOAでSQLインジェクションの脆弱性が発見、v20...

オープンソースのプロジェクト管理システムJFinalOAにおいて、SQLインジェクションの脆弱性が発見された。この脆弱性はv2025.01.01より前のバージョンに存在し、apply/save#oaContractApply.idコンポーネントを介して攻撃が可能。CVSSスコア8.8のHigh評価で、特権は必要だがユーザー操作不要。機密性・整合性・可用性への影響が高く、自動化された攻撃も可能とされている。

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェク...

JFinalOAのv2025.01.01未満のバージョンにSQLインジェクションの脆弱性が発見された。借入金管理機能のユーザーデータ処理に関連するコンポーネントで確認されたこの脆弱性は、CVE-2024-57769として識別され、CVSSスコア8.8のHIGHレベルと評価されている。攻撃者がネットワーク経由で低い権限レベルでシステムに侵入できる可能性があり、早急な対応が求められている。

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェク...

JFinalOAのv2025.01.01未満のバージョンにSQLインジェクションの脆弱性が発見された。借入金管理機能のユーザーデータ処理に関連するコンポーネントで確認されたこの脆弱性は、CVE-2024-57769として識別され、CVSSスコア8.8のHIGHレベルと評価されている。攻撃者がネットワーク経由で低い権限レベルでシステムに侵入できる可能性があり、早急な対応が求められている。

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkReportの編集機能に深刻な問題

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkR...

MITRE Corporationは2025年1月16日、07FLYCMS V1.3.9の/erp.07fly.net:80/oa/OaWorkReport/edit.htmlにおいてCross-Site Request Forgery(CSRF)の脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-57161として識別され、正規ユーザーの権限を悪用した不正操作が可能となる可能性が指摘されている。開発者やセキュリティ担当者による対策の検討が進められている。

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkR...

MITRE Corporationは2025年1月16日、07FLYCMS V1.3.9の/erp.07fly.net:80/oa/OaWorkReport/edit.htmlにおいてCross-Site Request Forgery(CSRF)の脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-57161として識別され、正規ユーザーの権限を悪用した不正操作が可能となる可能性が指摘されている。開発者やセキュリティ担当者による対策の検討が進められている。

いえらぶ琉球が生成AI体験会を開催、最新AIによるコンテンツ制作技術の習得機会を提供

いえらぶ琉球が生成AI体験会を開催、最新AIによるコンテンツ制作技術の習得機会を提供

いえらぶ琉球が開発した新サービス「AIコンテンツ生成機能」の体験会を那覇とうるまで開催する。約2分で3,000文字超の記事を自動生成できる画期的な機能を実際に体験でき、AIクリエイターとしての就業イメージも掴める。20代の就活生や第二新卒を対象に、1月25日と2月22日に各オフィスで実施予定だ。各回定員6名で、AIの基本操作から実践的なスキルまで習得可能。

いえらぶ琉球が生成AI体験会を開催、最新AIによるコンテンツ制作技術の習得機会を提供

いえらぶ琉球が開発した新サービス「AIコンテンツ生成機能」の体験会を那覇とうるまで開催する。約2分で3,000文字超の記事を自動生成できる画期的な機能を実際に体験でき、AIクリエイターとしての就業イメージも掴める。20代の就活生や第二新卒を対象に、1月25日と2月22日に各オフィスで実施予定だ。各回定員6名で、AIの基本操作から実践的なスキルまで習得可能。

MozillaがFirefox v134.0.2をリリース、4つの不具合修正でブラウザの安定性が向上

MozillaがFirefox v134.0.2をリリース、4つの不具合修正でブラウザの安定性が向上

Mozillaは2025年1月21日、デスクトップ向けFirefox v134.0.2をリリースチャネルで公開した。クラッシュレポーターの表示問題、HTMLフレームセットのアンカーリンク機能、開発者ツールのデバッグ機能、サービスワーカーのデータ処理に関する4つの不具合が修正され、ブラウザの安定性と開発者体験が向上している。

MozillaがFirefox v134.0.2をリリース、4つの不具合修正でブラウザの安定性が向上

Mozillaは2025年1月21日、デスクトップ向けFirefox v134.0.2をリリースチャネルで公開した。クラッシュレポーターの表示問題、HTMLフレームセットのアンカーリンク機能、開発者ツールのデバッグ機能、サービスワーカーのデータ処理に関する4つの不具合が修正され、ブラウザの安定性と開発者体験が向上している。