Tech Insights

【CVE-2025-2654】SourceCodester AC Repair and Services Systemに重大な脆弱性、SQLインジェクション攻撃が可能に

【CVE-2025-2654】SourceCodester AC Repair and Ser...

SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。

【CVE-2025-2654】SourceCodester AC Repair and Ser...

SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。

【CVE-2025-2652】SourceCodester Gate Pass Logging Systemに情報漏洩の脆弱性、設定変更による対応が必要に

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2652】SourceCodester Gate Pass Logging...

VulDBは2025年3月23日、SourceCodester社のEmployee and Visitor Gate Pass Logging System 1.0においてディレクトリリスティングによる情報漏洩の脆弱性を発見。CVE-2025-2652として識別されたこの脆弱性は、CVSS v4.0で深刻度6.9(ミディアム)と評価された。リモートからの攻撃が可能で認証も不要なため、早急な設定変更による対応が推奨されている。

【CVE-2025-2650】PHPGurukul Medical Card Generation System 1.0にXSS脆弱性、医療情報システムのセキュリティに警鐘

【CVE-2025-2650】PHPGurukul Medical Card Generati...

PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。

【CVE-2025-2650】PHPGurukul Medical Card Generati...

PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。

【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...

westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーションの脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...

aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。

【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...

aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Ready対応とUSBメモリー再生機能を強化

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Re...

マランツは2025年3月27日、AVプリアンプ「AV 10」およびネットワーク・ステレオレシーバー「STEREO 70s」のHEOSメジャーアップデートを実施し、Roon Readyに対応。USBメモリー再生時のタイムシーク機能追加や、再生キューの最大登録曲数を300曲から1000曲に拡大するなど、HEOS Built-in製品の機能が大幅に強化された。アップデートは2025年4月9日までに段階的に提供される。

マランツがAV 10とSTEREO 70sのHEOSメジャーアップデートを実施、Roon Re...

マランツは2025年3月27日、AVプリアンプ「AV 10」およびネットワーク・ステレオレシーバー「STEREO 70s」のHEOSメジャーアップデートを実施し、Roon Readyに対応。USBメモリー再生時のタイムシーク機能追加や、再生キューの最大登録曲数を300曲から1000曲に拡大するなど、HEOS Built-in製品の機能が大幅に強化された。アップデートは2025年4月9日までに段階的に提供される。

【CVE-2025-2621】D-Link DAP-1620に重大な脆弱性、リモート攻撃によるシステム侵害の危険性が浮上

【CVE-2025-2621】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性はリモートから攻撃可能で、特権やユーザー操作を必要とせず、CVSS 3.1で9.8のクリティカルスコアを記録している。すでに脆弱性の詳細が公開されており、サポート終了製品であることから、早急な対策が必要とされている。

【CVE-2025-2621】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性はリモートから攻撃可能で、特権やユーザー操作を必要とせず、CVSS 3.1で9.8のクリティカルスコアを記録している。すでに脆弱性の詳細が公開されており、サポート終了製品であることから、早急な対策が必要とされている。

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険性が明らかに

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険...

D-Link DAP-1620 1.03のCookie Handler機能において、重大なスタックベースバッファオーバーフローの脆弱性が発見された。CVE-2025-2619として識別されるこの脆弱性は、CVSSスコア9.3を記録し、リモートからの攻撃が可能。既に攻撃コードが公開されており、サポート終了製品のため修正プログラムの提供も期待できない状況だ。

【CVE-2025-2619】D-Link DAP-1620に重大な脆弱性、リモート攻撃の危険...

D-Link DAP-1620 1.03のCookie Handler機能において、重大なスタックベースバッファオーバーフローの脆弱性が発見された。CVE-2025-2619として識別されるこの脆弱性は、CVSSスコア9.3を記録し、リモートからの攻撃が可能。既に攻撃コードが公開されており、サポート終了製品のため修正プログラムの提供も期待できない状況だ。

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱性、修正版の更新を推奨

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...

Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。

【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...

Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。

【CVE-2025-2384】Real Estate Property Management System 1.0にSQLインジェクションの脆弱性、顧客情報漏洩のリスクが深刻化

【CVE-2025-2384】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。

【CVE-2025-2384】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。

【CVE-2025-2216】zzskzy Warehouse Refinement Management System 1.3に重大な脆弱性、ベンダー応答なく詳細が公開される事態に

【CVE-2025-2216】zzskzy Warehouse Refinement Mana...

VulDBが2025年3月12日、zzskzy Warehouse Refinement Management System 1.3において重大な脆弱性を発見したことを公開した。SaveCrash.ashxファイルのUploadCrash機能に無制限アップロードの問題が存在し、リモートからの攻撃が可能。CVSS 3.1で6.3(MEDIUM)と評価され、機密性・完全性・可用性に影響。ベンダーからの応答がないまま脆弱性情報が公開され、攻撃者による悪用が懸念される。

【CVE-2025-2216】zzskzy Warehouse Refinement Mana...

VulDBが2025年3月12日、zzskzy Warehouse Refinement Management System 1.3において重大な脆弱性を発見したことを公開した。SaveCrash.ashxファイルのUploadCrash機能に無制限アップロードの問題が存在し、リモートからの攻撃が可能。CVSS 3.1で6.3(MEDIUM)と評価され、機密性・完全性・可用性に影響。ベンダーからの応答がないまま脆弱性情報が公開され、攻撃者による悪用が懸念される。

【CVE-2025-2150】HGigaのC&Cm@ilに格納型XSS脆弱性、メール経由での不正コード実行の危険性

【CVE-2025-2150】HGigaのC&Cm@ilに格納型XSS脆弱性、メール経由での不...

TWCERT/CCがHGiga社のメールシステムC&Cm@ilにおいて格納型クロスサイトスクリプティング脆弱性を発見。バージョン1.0-238より前のすべてのバージョンが影響を受け、通常権限を持つ攻撃者がメールを介して悪意のあるJavaScriptコードを実行可能。CVSS3.1スコアは5.4でミディアムレベルと評価され、機密性と完全性への影響が指摘されている。

【CVE-2025-2150】HGigaのC&Cm@ilに格納型XSS脆弱性、メール経由での不...

TWCERT/CCがHGiga社のメールシステムC&Cm@ilにおいて格納型クロスサイトスクリプティング脆弱性を発見。バージョン1.0-238より前のすべてのバージョンが影響を受け、通常権限を持つ攻撃者がメールを介して悪意のあるJavaScriptコードを実行可能。CVSS3.1スコアは5.4でミディアムレベルと評価され、機密性と完全性への影響が指摘されている。

【CVE-2025-2147】Beijing Zhide Intelligent Internet Technologyの管理システムにファイルアクセスの脆弱性、対応が急務に

【CVE-2025-2147】Beijing Zhide Intelligent Intern...

Beijing Zhide Intelligent Internet TechnologyのModern Farm Digital Integrated Management System 1.0において、認証不要でリモートからファイルやディレクトリにアクセス可能な脆弱性が発見された。CVSSスコア6.9のMedium評価であり、既に公開済みだが、ベンダーは未対応のまま。農業データや個人情報の漏洩リスクが高まっており、早急な対策が必要とされている。

【CVE-2025-2147】Beijing Zhide Intelligent Intern...

Beijing Zhide Intelligent Internet TechnologyのModern Farm Digital Integrated Management System 1.0において、認証不要でリモートからファイルやディレクトリにアクセス可能な脆弱性が発見された。CVSSスコア6.9のMedium評価であり、既に公開済みだが、ベンダーは未対応のまま。農業データや個人情報の漏洩リスクが高まっており、早急な対策が必要とされている。

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理者権限取得の脆弱性が発見される

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...

WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。

【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...

WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証攻撃者による収益レポートへのアクセスが可能に

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...

WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。

【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...

WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。

【CVE-2025-1802】HT Mega – Absolute Addons For Elementorに深刻な脆弱性、早急な対応が必要な状況に

【CVE-2025-1802】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-1802】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意のデータ削除が可能に

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...

Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。

WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...

Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0.2に認可機能の欠落による情報漏洩の脆弱性、Subscriberレベルのユーザーが保護コンテンツにアクセス可

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....

WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。

【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....

WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で任意のPythonコード実行が可能に

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...

MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。

【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...

MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン2.19.0で修正完了

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界値処理の不備で深刻な影響の恐れ

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界...

parisneo/lollms-webui v13において、ファイルアップロード時のマルチパート境界値処理に関する重大な脆弱性が発見された。CVSSスコア7.5のこの脆弱性では、攻撃者が過度に長い境界値を持つリクエストを作成することでリソース枯渇を引き起こし、サービス停止につながる可能性がある。以前のパッチでは対策が不十分であり、早急な対応が求められている。

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界...

parisneo/lollms-webui v13において、ファイルアップロード時のマルチパート境界値処理に関する重大な脆弱性が発見された。CVSSスコア7.5のこの脆弱性では、攻撃者が過度に長い境界値を持つリクエストを作成することでリソース枯渇を引き起こし、サービス停止につながる可能性がある。以前のパッチでは対策が不十分であり、早急な対応が求められている。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性、ユーザーデータの漏洩リスクが浮上

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.jsが最新バージョン8.0をリリースし、Adobeとの協力によるIBLシャドウ機能とエリアライト機能を実装。Node Render Graphの導入でレンダリングパイプラインの完全制御が可能になり、新しいLightweight Viewerで3Dオブジェクトの表示が容易になった。WGSLコアエンジンシェーダーのサポートにより、WebGPU向けのファイルサイズも大幅に削減されている。

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.jsが最新バージョン8.0をリリースし、Adobeとの協力によるIBLシャドウ機能とエリアライト機能を実装。Node Render Graphの導入でレンダリングパイプラインの完全制御が可能になり、新しいLightweight Viewerで3Dオブジェクトの表示が容易になった。WGSLコアエンジンシェーダーのサポートにより、WebGPU向けのファイルサイズも大幅に削減されている。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティブ開発の新たな選択肢を提供

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。

MozillaがFirefox v136.0.3をリリース、TikTokの応答性が大幅に向上するマイナーアップデートを実施

MozillaがFirefox v136.0.3をリリース、TikTokの応答性が大幅に向上す...

Mozillaは3月25日(米国時間)、デスクトップ向けFirefoxの最新版v136.0.3をリリースチャネルで公開した。本アップデートでは日付フォーマットの処理速度を改善することでTikTokでの応答性を大幅に向上させている。Windows、macOS、Linuxなど主要OSに対応し、特にWindows版はWindows 10/11向けに32ビット版と64ビット版を提供している。

MozillaがFirefox v136.0.3をリリース、TikTokの応答性が大幅に向上す...

Mozillaは3月25日(米国時間)、デスクトップ向けFirefoxの最新版v136.0.3をリリースチャネルで公開した。本アップデートでは日付フォーマットの処理速度を改善することでTikTokでの応答性を大幅に向上させている。Windows、macOS、Linuxなど主要OSに対応し、特にWindows版はWindows 10/11向けに32ビット版と64ビット版を提供している。

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

米Broadcomは2025年3月25日、VMware Tools for Windowsに認証バイパスの脆弱性(CVE-2025-22230)を発見したと発表した。この脆弱性により、WindowsゲストVM上の非管理者権限ユーザーが高権限操作を実行できる可能性があり、CVSSスコア7.8の重大な問題として扱われている。すでにVMware Tools 12.5.1で修正済みだが、影響を受けるバージョンのユーザーには早急な更新が推奨される。

Windows版VMware Toolsに認証バイパスの脆弱性、非管理者権限での高権限操作が可能に

米Broadcomは2025年3月25日、VMware Tools for Windowsに認証バイパスの脆弱性(CVE-2025-22230)を発見したと発表した。この脆弱性により、WindowsゲストVM上の非管理者権限ユーザーが高権限操作を実行できる可能性があり、CVSSスコア7.8の重大な問題として扱われている。すでにVMware Tools 12.5.1で修正済みだが、影響を受けるバージョンのユーザーには早急な更新が推奨される。

NVIDIAがGPU製品向けソフトウェア「NVIDIA アプリ11.0.3」でAIアシスタント機能を提供開始、音声やテキストで設定が可能に

NVIDIAがGPU製品向けソフトウェア「NVIDIA アプリ11.0.3」でAIアシスタント...

NVIDIAは、GPU製品向けソフトウェア「NVIDIA アプリ」を11.0.3にアップデートし、AIアシスタント機能「Project G-Assist」の提供を開始した。このアシスタントはGeForce RTX GPUを使用してローカルで動作し、音声やテキストコマンドによってパフォーマンスの最適化やゲーム設定の調整が可能。現時点では英語のみの対応となっており、約10GBのストレージ容量が必要となる。

NVIDIAがGPU製品向けソフトウェア「NVIDIA アプリ11.0.3」でAIアシスタント...

NVIDIAは、GPU製品向けソフトウェア「NVIDIA アプリ」を11.0.3にアップデートし、AIアシスタント機能「Project G-Assist」の提供を開始した。このアシスタントはGeForce RTX GPUを使用してローカルで動作し、音声やテキストコマンドによってパフォーマンスの最適化やゲーム設定の調整が可能。現時点では英語のみの対応となっており、約10GBのストレージ容量が必要となる。

MicrosoftがWindowsのUSBプリンター不具合を修正、印刷時のランダムテキスト出力問題が解決へ

MicrosoftがWindowsのUSBプリンター不具合を修正、印刷時のランダムテキスト出力...

MicrosoftはWindows環境でUSBプリンターに予期せぬ文字が印刷される問題を修正した。2025年1月のプレビュー更新プログラム以降で発生していた本問題は、USBプリントとIPP over USBプロトコルをサポートするデュアルモードプリンターで発生。3月25日リリースのKB5053657で修正され、Windows 11およびWindows 10の特定バージョンで適用可能となっている。

MicrosoftがWindowsのUSBプリンター不具合を修正、印刷時のランダムテキスト出力...

MicrosoftはWindows環境でUSBプリンターに予期せぬ文字が印刷される問題を修正した。2025年1月のプレビュー更新プログラム以降で発生していた本問題は、USBプリントとIPP over USBプロトコルをサポートするデュアルモードプリンターで発生。3月25日リリースのKB5053657で修正され、Windows 11およびWindows 10の特定バージョンで適用可能となっている。

MicrosoftがWindows 11 24H2のリモートデスクトップ接続問題を解決、Known Issue Rollbackで対応完了

MicrosoftがWindows 11 24H2のリモートデスクトップ接続問題を解決、Kno...

Windows 11 バージョン24H2環境で発生していたリモートデスクトップ接続の切断問題が解決された。2025年1月のプレビューパッチKB5050094以降で報告されていた問題に対し、Known Issue Rollbackによる対策が実施される。Windows Server 2016以前への接続で発生していた65秒後の切断現象が改善され、リモートワーク環境の安定性が向上した。

MicrosoftがWindows 11 24H2のリモートデスクトップ接続問題を解決、Kno...

Windows 11 バージョン24H2環境で発生していたリモートデスクトップ接続の切断問題が解決された。2025年1月のプレビューパッチKB5050094以降で報告されていた問題に対し、Known Issue Rollbackによる対策が実施される。Windows Server 2016以前への接続で発生していた65秒後の切断現象が改善され、リモートワーク環境の安定性が向上した。