Tech Insights

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッピングの問題で権限昇格が可能に

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッ...

JetBrains社は2025年1月21日、同社の認証基盤ソフトウェアHubにおいてLDAP認証マッピングを介した特権昇格の脆弱性を公開した。CVSSスコア6.7の中程度の深刻度と評価され、Hub 2024.3.55417より前のバージョンが影響を受ける。攻撃には低特権でのアクセスとユーザー操作が必要だが、成功時は高権限の取得が可能となる。JetBrains社は修正版のリリースと迅速なアップデートを推奨している。

【CVE-2025-24456】JetBrains Hubに特権昇格の脆弱性、LDAP認証マッ...

JetBrains社は2025年1月21日、同社の認証基盤ソフトウェアHubにおいてLDAP認証マッピングを介した特権昇格の脆弱性を公開した。CVSSスコア6.7の中程度の深刻度と評価され、Hub 2024.3.55417より前のバージョンが影響を受ける。攻撃には低特権でのアクセスとユーザー操作が必要だが、成功時は高権限の取得が可能となる。JetBrains社は修正版のリリースと迅速なアップデートを推奨している。

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆弱性に対処、セキュリティアップデートを緊急公開

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。use after free問題による特権昇格の脆弱性【CVE-2025-24085】に対処するもので、iOS 17.2より前のバージョンでは実際に悪用された可能性があるという。CISAによる評価では深刻度「HIGH」とされ、CVSSスコアは7.3を記録している。

【CVE-2025-24085】AppleがvisionOSやiOSなど主要OSの特権昇格の脆...

Appleは2025年1月27日、visionOS、iOS、iPadOS、macOS、watchOS、tvOSに対する重要なセキュリティアップデートを公開した。use after free問題による特権昇格の脆弱性【CVE-2025-24085】に対処するもので、iOS 17.2より前のバージョンでは実際に悪用された可能性があるという。CISAによる評価では深刻度「HIGH」とされ、CVSSスコアは7.3を記録している。

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意ファイルアップロードが可能に

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意フ...

WordPressプラグインのThemeREX Addonsにおいて、バージョン2.32.3以前に重大な脆弱性が発見された。この脆弱性は未認証の攻撃者による任意のファイルアップロードを可能にし、リモートでのコード実行につながる可能性がある。CVSSスコア9.8と評価され、早急なアップデートが推奨される。Wordfenceの研究者によって発見されたこの問題は、特別な権限を必要とせずに攻撃可能である。

【CVE-2024-13448】ThemeREX Addonsに重大な脆弱性、未認証での任意フ...

WordPressプラグインのThemeREX Addonsにおいて、バージョン2.32.3以前に重大な脆弱性が発見された。この脆弱性は未認証の攻撃者による任意のファイルアップロードを可能にし、リモートでのコード実行につながる可能性がある。CVSSスコア9.8と評価され、早急なアップデートが推奨される。Wordfenceの研究者によって発見されたこの問題は、特別な権限を必要とせずに攻撃可能である。

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

米Googleは2025年1月28日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートした。Windows/Mac環境向けv132.0.6834.159/160とLinux環境向けv132.0.6834.159を展開中で、DevToolsのUse after free脆弱性(CVE-2025-0762)を修正。拡張安定チャネルにもv132.0.6834.160をロールアウトしている。

GoogleがChrome安定版をアップデート、DevToolsの脆弱性に対処しセキュリティを強化

米Googleは2025年1月28日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートした。Windows/Mac環境向けv132.0.6834.159/160とLinux環境向けv132.0.6834.159を展開中で、DevToolsのUse after free脆弱性(CVE-2025-0762)を修正。拡張安定チャネルにもv132.0.6834.160をロールアウトしている。

TeamViewerに権限昇格の脆弱性が発見、CVSS 7.8の深刻度で最新版へのアップデートを推奨

TeamViewerに権限昇格の脆弱性が発見、CVSS 7.8の深刻度で最新版へのアップデートを推奨

独TeamViewer GmbHは2025年1月28日、Windows版TeamViewerクライアントに重大な脆弱性(CVE-2025-0065)が存在することを発表した。TeamViewer_service.exeコンポーネントの引数処理に問題があり、非特権ユーザーによる権限昇格が可能となる脆弱性が確認された。CVSS 3.1で7.8(High)の評価を受け、バージョン15.62未満の全てのバージョンが影響を受ける。

TeamViewerに権限昇格の脆弱性が発見、CVSS 7.8の深刻度で最新版へのアップデートを推奨

独TeamViewer GmbHは2025年1月28日、Windows版TeamViewerクライアントに重大な脆弱性(CVE-2025-0065)が存在することを発表した。TeamViewer_service.exeコンポーネントの引数処理に問題があり、非特権ユーザーによる権限昇格が可能となる脆弱性が確認された。CVSS 3.1で7.8(High)の評価を受け、バージョン15.62未満の全てのバージョンが影響を受ける。

NTTソノリティがnwm WIREDにUSB-C接続モデルを追加、オープンイヤー型イヤフォンの利便性が向上

NTTソノリティがnwm WIREDにUSB-C接続モデルを追加、オープンイヤー型イヤフォンの...

NTTソノリティは耳を塞がないオープンイヤー型イヤフォン「nwm WIRED」シリーズに新たにUSB Type-C接続モデルを追加し発売を開始した。店頭予想価格5,940円で展開され、独自のPSZ技術による音漏れ抑制や約7.2gの軽量ボディを特徴とし、PCやスマートフォンなど幅広いデバイスでの使用が可能になった。

NTTソノリティがnwm WIREDにUSB-C接続モデルを追加、オープンイヤー型イヤフォンの...

NTTソノリティは耳を塞がないオープンイヤー型イヤフォン「nwm WIRED」シリーズに新たにUSB Type-C接続モデルを追加し発売を開始した。店頭予想価格5,940円で展開され、独自のPSZ技術による音漏れ抑制や約7.2gの軽量ボディを特徴とし、PCやスマートフォンなど幅広いデバイスでの使用が可能になった。

アイ・オー・データ機器がLAN DISKシリーズのセキュリティ機能を強化、多要素認証とワンタッチセキュア機能で不正アクセスを防止

アイ・オー・データ機器がLAN DISKシリーズのセキュリティ機能を強化、多要素認証とワンタッ...

アイ・オー・データ機器はNAS製品「LAN DISK」シリーズのセキュリティ機能をアップデートし、管理画面へのアクセスをより安全にする3つの新機能を追加した。物理ボタンによるワンタッチセキュア機能、認証アプリを活用した多要素認証、連続ログイン失敗時のロックアウト機能により、不正アクセスやなりすましのリスクを大幅に軽減する。

アイ・オー・データ機器がLAN DISKシリーズのセキュリティ機能を強化、多要素認証とワンタッ...

アイ・オー・データ機器はNAS製品「LAN DISK」シリーズのセキュリティ機能をアップデートし、管理画面へのアクセスをより安全にする3つの新機能を追加した。物理ボタンによるワンタッチセキュア機能、認証アプリを活用した多要素認証、連続ログイン失敗時のロックアウト機能により、不正アクセスやなりすましのリスクを大幅に軽減する。

セットジャパンがMOJIKAIの新ライブラリテンプレートを公開、YouTubeチャンネル開設でユーザー支援を強化

セットジャパンがMOJIKAIの新ライブラリテンプレートを公開、YouTubeチャンネル開設で...

セットジャパンコーポレーションは2025年1月29日、3Dコンテンツ制作プラットフォームMOJIKAIに新たなライブラリテンプレートを追加した。マウスやキーボードなどのオフィス関連テンプレート5種類を公開し、チャット形式でのカスタマイズを可能にした。また、公式YouTubeチャンネルを開設し、3Dモデリング関連の動画コンテンツ配信を開始する。

セットジャパンがMOJIKAIの新ライブラリテンプレートを公開、YouTubeチャンネル開設で...

セットジャパンコーポレーションは2025年1月29日、3Dコンテンツ制作プラットフォームMOJIKAIに新たなライブラリテンプレートを追加した。マウスやキーボードなどのオフィス関連テンプレート5種類を公開し、チャット形式でのカスタマイズを可能にした。また、公式YouTubeチャンネルを開設し、3Dモデリング関連の動画コンテンツ配信を開始する。

株式会社Float EngineeringがGoogle Gemini 2.0搭載の転職DBをリリース、転職活動の効率化を実現

株式会社Float EngineeringがGoogle Gemini 2.0搭載の転職DBを...

株式会社Float Engineeringは2025年1月30日、転職体験談プラットフォーム「転職DB」の大規模アップデートを実施した。Google Gemini 2.0 Flash Thinkingを採用し、散在する転職情報の正確な要約・検索を実現。属性検索機能の追加や企業ページの充実化により、効率的な転職活動をサポートする。

株式会社Float EngineeringがGoogle Gemini 2.0搭載の転職DBを...

株式会社Float Engineeringは2025年1月30日、転職体験談プラットフォーム「転職DB」の大規模アップデートを実施した。Google Gemini 2.0 Flash Thinkingを採用し、散在する転職情報の正確な要約・検索を実現。属性検索機能の追加や企業ページの充実化により、効率的な転職活動をサポートする。

テクマトリックスがSecure Code Warriorの新機能を発表、非Developer向けセキュリティ教育の強化へ

テクマトリックスがSecure Code Warriorの新機能を発表、非Developer向...

テクマトリックスは、Secure Code Warriorの新機能として、セキュリティ標準規格と法規に関連する学習、脅威モデリング、セキュリティ要件、大規模言語モデル対応を発表した。非Developer向けのセキュリティ教育を強化し、製品の企画や設計フェーズからのセキュリティ対策を支援する。全世界600以上の企業での導入実績を持つプラットフォームが、さらなる機能拡充で組織全体のセキュリティレベル向上を目指す。

テクマトリックスがSecure Code Warriorの新機能を発表、非Developer向...

テクマトリックスは、Secure Code Warriorの新機能として、セキュリティ標準規格と法規に関連する学習、脅威モデリング、セキュリティ要件、大規模言語モデル対応を発表した。非Developer向けのセキュリティ教育を強化し、製品の企画や設計フェーズからのセキュリティ対策を支援する。全世界600以上の企業での導入実績を持つプラットフォームが、さらなる機能拡充で組織全体のセキュリティレベル向上を目指す。

いい生活がSUUMO一括出稿サービスをアップデート、物件画像の並び替えでユーザビリティを向上

いい生活がSUUMO一括出稿サービスをアップデート、物件画像の並び替えでユーザビリティを向上

株式会社いい生活は2025年1月29日、「いい生活売買クラウド One」の一括出稿サービスをアップデートした。SUUMOへの物件情報一括出稿時に、プレビュー画面で物件画像の並び順を変更できる機能が追加され、エンドユーザーの興味を引く最適な画像配置が可能に。不動産会社の競争力向上を支援する。

いい生活がSUUMO一括出稿サービスをアップデート、物件画像の並び替えでユーザビリティを向上

株式会社いい生活は2025年1月29日、「いい生活売買クラウド One」の一括出稿サービスをアップデートした。SUUMOへの物件情報一括出稿時に、プレビュー画面で物件画像の並び順を変更できる機能が追加され、エンドユーザーの興味を引く最適な画像配置が可能に。不動産会社の競争力向上を支援する。

LeanGoがDEJAMのWeb解析機能を強化、ゴールデンルート機能でサイト改善を効率化

LeanGoがDEJAMのWeb解析機能を強化、ゴールデンルート機能でサイト改善を効率化

株式会社LeanGoは、マーケティングDXツール「DEJAM」に新機能としてゴールデンルート機能を追加した。この機能により、CVしたユーザーのページ遷移を自動で可視化し、熟読CVRやクリックCVR、滞在CVRを自動で解析することが可能になる。さらに、貢献度の高い要素を順番に表示する機能も実装され、より効率的なサイト改善が実現できるようになった。

LeanGoがDEJAMのWeb解析機能を強化、ゴールデンルート機能でサイト改善を効率化

株式会社LeanGoは、マーケティングDXツール「DEJAM」に新機能としてゴールデンルート機能を追加した。この機能により、CVしたユーザーのページ遷移を自動で可視化し、熟読CVRやクリックCVR、滞在CVRを自動で解析することが可能になる。さらに、貢献度の高い要素を順番に表示する機能も実装され、より効率的なサイト改善が実現できるようになった。

OURが航空機整備特定技能人材10名を受け入れ、JALECとANABTCとの特別カリキュラムで90%の合格率を達成

OURが航空機整備特定技能人材10名を受け入れ、JALECとANABTCとの特別カリキュラムで...

ONODERA USER RUNは、JALエンジニアリングとANAベースメンテナンステクニクスと連携し、航空機整備分野で特定技能人材10名の受け入れを開始した。OUR BLOOMING ACADEMYでの特別カリキュラムにより試験史上初の90%合格率を達成し、全員がJLPT N3以上を取得。3月までの研修プログラムを経て、羽田整備場での本格的な就業を目指す。

OURが航空機整備特定技能人材10名を受け入れ、JALECとANABTCとの特別カリキュラムで...

ONODERA USER RUNは、JALエンジニアリングとANAベースメンテナンステクニクスと連携し、航空機整備分野で特定技能人材10名の受け入れを開始した。OUR BLOOMING ACADEMYでの特別カリキュラムにより試験史上初の90%合格率を達成し、全員がJLPT N3以上を取得。3月までの研修プログラムを経て、羽田整備場での本格的な就業を目指す。

株式会社kanalがキャリアコンサルタント専用コミュニティkana Laboを公開、資格取得後の実践的知識提供で現場での活躍を支援

株式会社kanalがキャリアコンサルタント専用コミュニティkana Laboを公開、資格取得後...

株式会社kanalは国家資格キャリアコンサルタント専用のコミュニティ「kana Labo」を2025年1月22日に公開する。70名以上の理論家の理論と120個以上のコンテンツを提供し、資格取得後に必要となる実践的知識の習得を支援。月額2,000円で利用可能で、2025年2月20日までの入会で30日間無料キャンペーンも実施している。

株式会社kanalがキャリアコンサルタント専用コミュニティkana Laboを公開、資格取得後...

株式会社kanalは国家資格キャリアコンサルタント専用のコミュニティ「kana Labo」を2025年1月22日に公開する。70名以上の理論家の理論と120個以上のコンテンツを提供し、資格取得後に必要となる実践的知識の習得を支援。月額2,000円で利用可能で、2025年2月20日までの入会で30日間無料キャンペーンも実施している。

ログリーがウルテクの企業動向タグをアップデート、採用・ビジネス・海外展開の戦略シグナルを強化

ログリーがウルテクの企業動向タグをアップデート、採用・ビジネス・海外展開の戦略シグナルを強化

ログリー株式会社は2025年1月24日、アカウントインテリジェンスツール「ウルテク」の企業動向タグに新機能を追加。採用情報、ビジネス戦略、海外展開戦略を可視化する「企業戦略シグナル」機能により、企業の戦略的な意思決定の兆しを把握可能に。マーケティングおよび営業活動の最適化を実現し、商談成立率の向上を支援する。

ログリーがウルテクの企業動向タグをアップデート、採用・ビジネス・海外展開の戦略シグナルを強化

ログリー株式会社は2025年1月24日、アカウントインテリジェンスツール「ウルテク」の企業動向タグに新機能を追加。採用情報、ビジネス戦略、海外展開戦略を可視化する「企業戦略シグナル」機能により、企業の戦略的な意思決定の兆しを把握可能に。マーケティングおよび営業活動の最適化を実現し、商談成立率の向上を支援する。

さつきがChromebox OPSを発表、MIRAI TOUCHでGoogle Workspaceの利用が可能に

さつきがChromebox OPSを発表、MIRAI TOUCHでGoogle Workspa...

さつき株式会社は、電子黒板MIRAI TOUCHに搭載可能なChromebox OPSを2025年1月に発表し、2月より提供開始予定。第13世代Intel Coreプロセッサ、WiFi 6E、Titan Cセキュリティチップを搭載し、Google WorkspaceやGoogle Playに対応。MIRAI TOUCH for ChromeOS Flexは約2年で12,000台の出荷実績を持つ。

さつきがChromebox OPSを発表、MIRAI TOUCHでGoogle Workspa...

さつき株式会社は、電子黒板MIRAI TOUCHに搭載可能なChromebox OPSを2025年1月に発表し、2月より提供開始予定。第13世代Intel Coreプロセッサ、WiFi 6E、Titan Cセキュリティチップを搭載し、Google WorkspaceやGoogle Playに対応。MIRAI TOUCH for ChromeOS Flexは約2年で12,000台の出荷実績を持つ。

カイロスマーケティングがKairos3の新機能を公開、セキュリティと営業効率の両立を実現

カイロスマーケティングがKairos3の新機能を公開、セキュリティと営業効率の両立を実現

カイロスマーケティング株式会社は、MA+SFA一体型ツール「Kairos3」の新機能を2025年1月26日にリリースした。マルチテナント機能により複数部門のセキュリティ権限を横断的に管理可能となり、AI名刺スキャン機能の搭載で名刺情報の即時データ化を実現。SSOやSSL証明書の自動更新にも対応し、セキュリティと営業効率の両立を図っている。

カイロスマーケティングがKairos3の新機能を公開、セキュリティと営業効率の両立を実現

カイロスマーケティング株式会社は、MA+SFA一体型ツール「Kairos3」の新機能を2025年1月26日にリリースした。マルチテナント機能により複数部門のセキュリティ権限を横断的に管理可能となり、AI名刺スキャン機能の搭載で名刺情報の即時データ化を実現。SSOやSSL証明書の自動更新にも対応し、セキュリティと営業効率の両立を図っている。

GSXがCISO不足解消のための講座を開設、淵上真一氏監修で実践的な経営者向けセキュリティ教育を提供

GSXがCISO不足解消のための講座を開設、淵上真一氏監修で実践的な経営者向けセキュリティ教育を提供

グローバルセキュリティエキスパート株式会社は、CISO不足を解消するためのSecuriST新講座としてCISO講座を開設した。大手IT企業でCISOを務める淵上真一氏が監修を務め、約3時間でCISOに必要な知識や役割を学習可能。日本企業のCISO設置率は約4割に留まっており、本講座を通じてセキュリティ人材の育成を促進する。

GSXがCISO不足解消のための講座を開設、淵上真一氏監修で実践的な経営者向けセキュリティ教育を提供

グローバルセキュリティエキスパート株式会社は、CISO不足を解消するためのSecuriST新講座としてCISO講座を開設した。大手IT企業でCISOを務める淵上真一氏が監修を務め、約3時間でCISOに必要な知識や役割を学習可能。日本企業のCISO設置率は約4割に留まっており、本講座を通じてセキュリティ人材の育成を促進する。

リアリゼイションが補助金AIレコメンドを大幅アップデート、1,000件以上の補助金・助成金情報に対応し利便性が向上

リアリゼイションが補助金AIレコメンドを大幅アップデート、1,000件以上の補助金・助成金情報...

株式会社リアリゼイションは補助金AIレコメンドに補助金・助成金情報を大幅追加し、1,000件以上の情報に対応した。補助金申請総額50億円以上、申請件数1,300件以上の実績を持つ同社は、企業の事業規模や業種に合わせて最適な補助金・助成金情報を週1回のメールで配信する。登録は無料で、メールから直接申請サポートの相談も可能だ。

リアリゼイションが補助金AIレコメンドを大幅アップデート、1,000件以上の補助金・助成金情報...

株式会社リアリゼイションは補助金AIレコメンドに補助金・助成金情報を大幅追加し、1,000件以上の情報に対応した。補助金申請総額50億円以上、申請件数1,300件以上の実績を持つ同社は、企業の事業規模や業種に合わせて最適な補助金・助成金情報を週1回のメールで配信する。登録は無料で、メールから直接申請サポートの相談も可能だ。

東京高専がロボット教育研究会を開催、デジタルツインを活用した産学連携ロボットSIer教材を紹介

東京高専がロボット教育研究会を開催、デジタルツインを活用した産学連携ロボットSIer教材を紹介

東京工業高等専門学校が2024年12月24日にソニーシティ大崎でロボット教育研究会を開催した。全国の国立高専51校のうち18高専から30名が参加し、デジタルツインを活用した産学連携ロボットSIer教材の紹介やChoreonoidを用いたロボットプログラミング環境構築について講演が行われた。ロボット・サイバーフィジカルシステム教育の高専教育への導入について活発な議論が展開された。

東京高専がロボット教育研究会を開催、デジタルツインを活用した産学連携ロボットSIer教材を紹介

東京工業高等専門学校が2024年12月24日にソニーシティ大崎でロボット教育研究会を開催した。全国の国立高専51校のうち18高専から30名が参加し、デジタルツインを活用した産学連携ロボットSIer教材の紹介やChoreonoidを用いたロボットプログラミング環境構築について講演が行われた。ロボット・サイバーフィジカルシステム教育の高専教育への導入について活発な議論が展開された。

スタディスタジオがスタスタAppsをPWA対応化、英検学習の効率性と利便性が大幅に向上

スタディスタジオがスタスタAppsをPWA対応化、英検学習の効率性と利便性が大幅に向上

スタディスタジオ株式会社は英検受験生向けウェブサービス「スタスタApps」をPWA対応化し、ホーム画面へのアイコン追加機能やオフライン対応などを実現。合否判定ツールやライティングAI採点ツールを提供し、場所を選ばない効率的な学習環境を構築。会員登録不要で無料のサービスとして、英検学習をトータルにサポートする。

スタディスタジオがスタスタAppsをPWA対応化、英検学習の効率性と利便性が大幅に向上

スタディスタジオ株式会社は英検受験生向けウェブサービス「スタスタApps」をPWA対応化し、ホーム画面へのアイコン追加機能やオフライン対応などを実現。合否判定ツールやライティングAI採点ツールを提供し、場所を選ばない効率的な学習環境を構築。会員登録不要で無料のサービスとして、英検学習をトータルにサポートする。

MicrosoftがWindows 11 Insider Preview Build 26120.3000をリリース、バッテリーアイコンとGamepad機能が大幅に改善

MicrosoftがWindows 11 Insider Preview Build 2612...

MicrosoftはWindows 11 Insider Preview Build 26120.3000をDev Channelでリリースした。バッテリー状態を色分けで表示する新アイコンと、パーセント表示オプションを導入。さらにGamepadキーボードレイアウトとNarratorのスキャンモードも改善され、アクセシビリティ機能が強化された。Dev Channel向けの段階的な機能展開により、ユーザーは設定から最新機能を順次受け取ることが可能になっている。

MicrosoftがWindows 11 Insider Preview Build 2612...

MicrosoftはWindows 11 Insider Preview Build 26120.3000をDev Channelでリリースした。バッテリー状態を色分けで表示する新アイコンと、パーセント表示オプションを導入。さらにGamepadキーボードレイアウトとNarratorのスキャンモードも改善され、アクセシビリティ機能が強化された。Dev Channel向けの段階的な機能展開により、ユーザーは設定から最新機能を順次受け取ることが可能になっている。

【CVE-2024-13447】WP Hotel Booking 2.1.6に認証欠如の脆弱性、登録済みメールアドレスの不正取得が可能に

【CVE-2024-13447】WP Hotel Booking 2.1.6に認証欠如の脆弱性...

WordFenceは2025年1月22日、WordPressプラグインのWP Hotel Bookingにおいて、バージョン2.1.6以前に認証欠如の脆弱性が存在することを公開した。この脆弱性により、Subscriberレベル以上の権限を持つユーザーが、hotel_booking_load_order_userというAJAXアクションを通じて登録済みユーザーのメールアドレスを不正に取得できる状態となっていることが判明している。

【CVE-2024-13447】WP Hotel Booking 2.1.6に認証欠如の脆弱性...

WordFenceは2025年1月22日、WordPressプラグインのWP Hotel Bookingにおいて、バージョン2.1.6以前に認証欠如の脆弱性が存在することを公開した。この脆弱性により、Subscriberレベル以上の権限を持つユーザーが、hotel_booking_load_order_userというAJAXアクションを通じて登録済みユーザーのメールアドレスを不正に取得できる状態となっていることが判明している。

【CVE-2024-13426】WP-Polls 2.77.2以前にSQL Injection脆弱性が発見、認証不要で悪用可能な状態に

【CVE-2024-13426】WP-Polls 2.77.2以前にSQL Injection...

WordPressプラグインのWP-Polls 2.77.2以前のバージョンにおいて、認証不要で悪用可能なSQL Injectionの脆弱性が発見された。CVE-2024-13426として識別されるこの脆弱性は、Cookie経由でSQL注入が可能となっており、適切に構成されたペイロードを使用することでストアドクロスサイトスクリプティング攻撃を引き起こす可能性がある。CVSSスコアは5.4でMediumと評価されている。

【CVE-2024-13426】WP-Polls 2.77.2以前にSQL Injection...

WordPressプラグインのWP-Polls 2.77.2以前のバージョンにおいて、認証不要で悪用可能なSQL Injectionの脆弱性が発見された。CVE-2024-13426として識別されるこの脆弱性は、Cookie経由でSQL注入が可能となっており、適切に構成されたペイロードを使用することでストアドクロスサイトスクリプティング攻撃を引き起こす可能性がある。CVSSスコアは5.4でMediumと評価されている。

【CVE-2025-21395】Microsoft AccessにHeap-based Buffer Overflow脆弱性、複数バージョンで更新プログラムの適用が必要に

【CVE-2025-21395】Microsoft AccessにHeap-based Buf...

Microsoftは2025年1月14日、Microsoft Accessに遠隔コード実行の脆弱性【CVE-2025-21395】を公開した。この脆弱性はCVSSスコア7.8の高リスクと評価され、Microsoft Office 2019からLTSC 2024まで、および Microsoft Access 2016の全バージョンに影響を与える。Microsoftは影響を受けるすべての製品に対してセキュリティアップデートを提供しており、ユーザーに対して速やかな適用を推奨している。

【CVE-2025-21395】Microsoft AccessにHeap-based Buf...

Microsoftは2025年1月14日、Microsoft Accessに遠隔コード実行の脆弱性【CVE-2025-21395】を公開した。この脆弱性はCVSSスコア7.8の高リスクと評価され、Microsoft Office 2019からLTSC 2024まで、および Microsoft Access 2016の全バージョンに影響を与える。Microsoftは影響を受けるすべての製品に対してセキュリティアップデートを提供しており、ユーザーに対して速やかな適用を推奨している。

【CVE-2025-21360】Microsoft AutoUpdate for Macに権限昇格の脆弱性、深刻度7.8でアップデートの適用が必須に

【CVE-2025-21360】Microsoft AutoUpdate for Macに権限...

Microsoftは2025年1月14日、Microsoft AutoUpdate for Macにおける権限昇格の脆弱性(CVE-2025-21360)を公開した。CVSS v3.1で深刻度7.8(High)と評価されており、バージョン4.76未満のすべてのバージョンが影響を受ける。この脆弱性は不適切な権限管理に起因し、攻撃者がローカルから低い権限で攻撃を実行できる可能性があるため、早急なアップデートが推奨される。

【CVE-2025-21360】Microsoft AutoUpdate for Macに権限...

Microsoftは2025年1月14日、Microsoft AutoUpdate for Macにおける権限昇格の脆弱性(CVE-2025-21360)を公開した。CVSS v3.1で深刻度7.8(High)と評価されており、バージョン4.76未満のすべてのバージョンが影響を受ける。この脆弱性は不適切な権限管理に起因し、攻撃者がローカルから低い権限で攻撃を実行できる可能性があるため、早急なアップデートが推奨される。

【CVE-2025-21362】Microsoft Excelに深刻な脆弱性、Office製品群に広範な影響

【CVE-2025-21362】Microsoft Excelに深刻な脆弱性、Office製品...

Microsoftは2025年1月14日、Microsoft Excel製品およびMicrosoft Office関連製品においてリモートコード実行の脆弱性【CVE-2025-21362】を公開した。この脆弱性はCVSS v3.1で8.4(High)と評価され、Office Online ServerからOffice LTSC 2024まで広範な製品に影響を与えることが判明。各製品の特定バージョンに対するセキュリティアップデートが提供されている。

【CVE-2025-21362】Microsoft Excelに深刻な脆弱性、Office製品...

Microsoftは2025年1月14日、Microsoft Excel製品およびMicrosoft Office関連製品においてリモートコード実行の脆弱性【CVE-2025-21362】を公開した。この脆弱性はCVSS v3.1で8.4(High)と評価され、Office Online ServerからOffice LTSC 2024まで広範な製品に影響を与えることが判明。各製品の特定バージョンに対するセキュリティアップデートが提供されている。

【CVE-2025-21366】Microsoft Accessに深刻な脆弱性、複数のOffice製品のアップデートが必須に

【CVE-2025-21366】Microsoft Accessに深刻な脆弱性、複数のOffi...

Microsoftは2025年1月14日、Microsoft Accessに影響を及ぼすリモートコード実行の脆弱性CVE-2025-21366を公開した。この脆弱性はUse After Free(CWE-416)に分類され、CVSSスコア7.8の高い深刻度を持つ。影響を受ける製品にはMicrosoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021およびLTSC 2024が含まれており、早急なアップデートが必要とされている。

【CVE-2025-21366】Microsoft Accessに深刻な脆弱性、複数のOffi...

Microsoftは2025年1月14日、Microsoft Accessに影響を及ぼすリモートコード実行の脆弱性CVE-2025-21366を公開した。この脆弱性はUse After Free(CWE-416)に分類され、CVSSスコア7.8の高い深刻度を持つ。影響を受ける製品にはMicrosoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021およびLTSC 2024が含まれており、早急なアップデートが必要とされている。

【CVE-2025-21405】Visual Studio 2022 version 17.12に特権昇格の脆弱性、CVSSスコア7.3のHigh深刻度レベルで対応が必要に

【CVE-2025-21405】Visual Studio 2022 version 17.1...

MicrosoftはVisual Studio 2022のバージョン17.12において、特権昇格の脆弱性【CVE-2025-21405】を公開した。CWE-284による不適切なアクセス制御の問題が指摘されており、CVSSスコアは7.3のHighレベルとされている。Version 17.0から17.12.4より前のバージョンに影響を及ぼすこの脆弱性は、ローカルアクセスと低い特権レベルが必要であり、ユーザーの関与が求められる可能性がある。

【CVE-2025-21405】Visual Studio 2022 version 17.1...

MicrosoftはVisual Studio 2022のバージョン17.12において、特権昇格の脆弱性【CVE-2025-21405】を公開した。CWE-284による不適切なアクセス制御の問題が指摘されており、CVSSスコアは7.3のHighレベルとされている。Version 17.0から17.12.4より前のバージョンに影響を及ぼすこの脆弱性は、ローカルアクセスと低い特権レベルが必要であり、ユーザーの関与が求められる可能性がある。

【CVE-2025-21133】Illustrator on iPadのInteger Underflow脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-21133】Illustrator on iPadのInteger Und...

Adobeは2025年1月14日、Illustrator on iPadのバージョン3.0.7以前に影響を及ぼすInteger Underflowの脆弱性を公開した。CVSSスコア7.8と高く評価されており、悪意のあるファイルを開くことで任意のコードが実行される可能性がある重大な問題だ。速やかなアップデートが推奨されている。

【CVE-2025-21133】Illustrator on iPadのInteger Und...

Adobeは2025年1月14日、Illustrator on iPadのバージョン3.0.7以前に影響を及ぼすInteger Underflowの脆弱性を公開した。CVSSスコア7.8と高く評価されており、悪意のあるファイルを開くことで任意のコードが実行される可能性がある重大な問題だ。速やかなアップデートが推奨されている。