Tech Insights
【CVE-2025-2924】HDF5で深刻な脆弱性が発見、ヒープベースのバッファオーバーフロ...
VulDBが2025年3月28日に公開したHDF5の脆弱性情報によると、バージョン1.14.6までのH5HL__fl_deserialize関数においてヒープベースのバッファオーバーフローが発生する可能性がある。CVSSスコアは4.8を記録し、ローカルホストでの攻撃が可能であるため、影響を受けるバージョンを使用している場合は早急な対応が必要となる。
【CVE-2025-2924】HDF5で深刻な脆弱性が発見、ヒープベースのバッファオーバーフロ...
VulDBが2025年3月28日に公開したHDF5の脆弱性情報によると、バージョン1.14.6までのH5HL__fl_deserialize関数においてヒープベースのバッファオーバーフローが発生する可能性がある。CVSSスコアは4.8を記録し、ローカルホストでの攻撃が可能であるため、影響を受けるバージョンを使用している場合は早急な対応が必要となる。
【CVE-2025-2953】PyTorch 2.6.0+cu124でDoS脆弱性が発見、サー...
機械学習フレームワークPyTorchのバージョン2.6.0+cu124において、torch.mkldnn_max_pool2d機能にサービス拒否攻撃の脆弱性が発見された。ローカルアクセス権限を持つ攻撃者により可用性への影響が懸念され、CVSSスコアは最大4.8でMedium評価。既に攻撃コードが公開されており、システム管理者には早急な対応が求められている。
【CVE-2025-2953】PyTorch 2.6.0+cu124でDoS脆弱性が発見、サー...
機械学習フレームワークPyTorchのバージョン2.6.0+cu124において、torch.mkldnn_max_pool2d機能にサービス拒否攻撃の脆弱性が発見された。ローカルアクセス権限を持つ攻撃者により可用性への影響が懸念され、CVSSスコアは最大4.8でMedium評価。既に攻撃コードが公開されており、システム管理者には早急な対応が求められている。
【CVE-2025-3036】StudentServlet-JSPにクロスサイトスクリプティン...
yzk2356911358のStudentServlet-JSPのStudent Management Handlerコンポーネントにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア最大4.8でミディアムレベルの深刻度と評価され、攻撃コードも公開されている状態だ。影響を受けるバージョンは特定のコミットハッシュで確認されているが、ローリングリリース方式採用により詳細は不明確となっている。
【CVE-2025-3036】StudentServlet-JSPにクロスサイトスクリプティン...
yzk2356911358のStudentServlet-JSPのStudent Management Handlerコンポーネントにおいて、Name引数の操作によるクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア最大4.8でミディアムレベルの深刻度と評価され、攻撃コードも公開されている状態だ。影響を受けるバージョンは特定のコミットハッシュで確認されているが、ローリングリリース方式採用により詳細は不明確となっている。
積木製作がVR教材作成ソリューションCoreBasisCreatorを提供開始、企業のVR教材...
株式会社積木製作は、企業のVR教材の内製化を実現するソリューション「CoreBasisCreator」の提供を開始した。市販の360°カメラで撮影した動画や静止画にインフォメーションを追加することで、危険予知トレーニングや設備機械の手順説明など、様々な教材を作成可能。作成したコンテンツはXRプラットフォーム「CoreBasis」を通じてVRヘッドセットに配布でき、今後は3Dデータを活用した教材作成機能の実装も予定している。
積木製作がVR教材作成ソリューションCoreBasisCreatorを提供開始、企業のVR教材...
株式会社積木製作は、企業のVR教材の内製化を実現するソリューション「CoreBasisCreator」の提供を開始した。市販の360°カメラで撮影した動画や静止画にインフォメーションを追加することで、危険予知トレーニングや設備機械の手順説明など、様々な教材を作成可能。作成したコンテンツはXRプラットフォーム「CoreBasis」を通じてVRヘッドセットに配布でき、今後は3Dデータを活用した教材作成機能の実装も予定している。
【CVE-2025-22457】IvantiのConnect Secureなどに深刻な脆弱性、...
Ivantiは2025年4月3日、同社のConnect Secure、Policy Secure、ZTA Gatewaysに影響を与えるスタックベースのバッファオーバーフロー脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として報告され、リモートの認証されていない攻撃者によるリモートコード実行が可能となる。影響を受けるバージョンの確認と最新版へのアップデートが推奨される。
【CVE-2025-22457】IvantiのConnect Secureなどに深刻な脆弱性、...
Ivantiは2025年4月3日、同社のConnect Secure、Policy Secure、ZTA Gatewaysに影響を与えるスタックベースのバッファオーバーフロー脆弱性を公開した。CVSSスコア9.0の重大な脆弱性として報告され、リモートの認証されていない攻撃者によるリモートコード実行が可能となる。影響を受けるバージョンの確認と最新版へのアップデートが推奨される。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
reviewdog/action-setupに不正コード混入、GitHubアクションのシークレ...
GitHubは2025年3月19日、reviewdog/action-setupに悪意のあるコードが混入され、GitHubアクションのワークフローログにシークレット情報が流出する可能性がある脆弱性を公開した。3月11日の約2時間にわたり発生したこの問題は、複数のreviewdogアクションに影響を及ぼす可能性があり、CVSS v3.1で8.6(High)のスコアが付与されている。
reviewdog/action-setupに不正コード混入、GitHubアクションのシークレ...
GitHubは2025年3月19日、reviewdog/action-setupに悪意のあるコードが混入され、GitHubアクションのワークフローログにシークレット情報が流出する可能性がある脆弱性を公開した。3月11日の約2時間にわたり発生したこの問題は、複数のreviewdogアクションに影響を及ぼす可能性があり、CVSS v3.1で8.6(High)のスコアが付与されている。
エクセルソフトがSmartsheetハンズオンセミナーを開催、プロジェクト管理の効率化を支援
エクセルソフト株式会社は2025年4月11日にSmartsheetハンズオンセミナー入門編をオンラインで開催する。セミナーでは、ガントチャート表示や自動通知機能、レポート機能などの基本機能を実践的に学べる内容となっており、DX推進やタスク管理の課題解決を目指す。Smartsheetの導入により、従来のExcel管理における煩雑さを解消し、効率的なプロジェクト管理を実現できる。
エクセルソフトがSmartsheetハンズオンセミナーを開催、プロジェクト管理の効率化を支援
エクセルソフト株式会社は2025年4月11日にSmartsheetハンズオンセミナー入門編をオンラインで開催する。セミナーでは、ガントチャート表示や自動通知機能、レポート機能などの基本機能を実践的に学べる内容となっており、DX推進やタスク管理の課題解決を目指す。Smartsheetの導入により、従来のExcel管理における煩雑さを解消し、効率的なプロジェクト管理を実現できる。
マクニカがBoxの活用支援サービス「マクニカコンテンツ管理コンサルティング」を開始、業務効率改...
株式会社マクニカは2025年3月25日、Boxの活用を支援する新サービス「マクニカコンテンツ管理コンサルティング」の提供を開始した。既存のPoC支援サービスや導入支援サービスと組み合わせ、検討初期から利活用フェーズまでの包括的な支援体制を構築。マクニカ独自のコンテンツポータル「Macceed」や「Hakonnect」シリーズの提供により、業務効率改善の実現を目指す。
マクニカがBoxの活用支援サービス「マクニカコンテンツ管理コンサルティング」を開始、業務効率改...
株式会社マクニカは2025年3月25日、Boxの活用を支援する新サービス「マクニカコンテンツ管理コンサルティング」の提供を開始した。既存のPoC支援サービスや導入支援サービスと組み合わせ、検討初期から利活用フェーズまでの包括的な支援体制を構築。マクニカ独自のコンテンツポータル「Macceed」や「Hakonnect」シリーズの提供により、業務効率改善の実現を目指す。
【CVE-2025-1517】Sina Extension for Elementor 3.6...
WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。
【CVE-2025-1517】Sina Extension for Elementor 3.6...
WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。
【CVE-2025-28862】WordPress用プラグインComment Date and...
Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。
【CVE-2025-28862】WordPress用プラグインComment Date and...
Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。
【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...
オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。
【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...
オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。
【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...
オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。
【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...
オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。
【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...
GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。
【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...
GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。
【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...
Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。
【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...
Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。
Anacondaが管理プラットフォームを統合、anaconda.cloudからanaconda...
Anaconda社が2025年4月1日より、現在のanaconda.cloudで提供しているコンテンツやサービスをanaconda.comへ統合することを発表。この変更により、サインインからコンテンツアクセス、チーム管理まで単一のURLでの運用が可能に。3月31日までにファイアウォール設定の更新が必要となり、従業員201名以上の企業は有償ライセンスの購入が必須となる。
Anacondaが管理プラットフォームを統合、anaconda.cloudからanaconda...
Anaconda社が2025年4月1日より、現在のanaconda.cloudで提供しているコンテンツやサービスをanaconda.comへ統合することを発表。この変更により、サインインからコンテンツアクセス、チーム管理まで単一のURLでの運用が可能に。3月31日までにファイアウォール設定の更新が必要となり、従業員201名以上の企業は有償ライセンスの購入が必須となる。
Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...
分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。
Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...
分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。
Visual Studio 2022がGitHubアカウントの複数管理に対応、開発者の生産性向...
MicrosoftがVisual Studio 2022で複数のGitHubアカウント管理機能を実装。プロファイルカードからの直感的な操作でアカウントの追加・切り替えが可能になり、GitHub Copilotの自動アクティベーションにも対応。バージョン管理機能も強化され、リポジトリごとの設定保存により、Git操作がよりスムーズに。開発者の要望に応える形で、より効率的な開発環境を実現。
Visual Studio 2022がGitHubアカウントの複数管理に対応、開発者の生産性向...
MicrosoftがVisual Studio 2022で複数のGitHubアカウント管理機能を実装。プロファイルカードからの直感的な操作でアカウントの追加・切り替えが可能になり、GitHub Copilotの自動アクティベーションにも対応。バージョン管理機能も強化され、リポジトリごとの設定保存により、Git操作がよりスムーズに。開発者の要望に応える形で、より効率的な開発環境を実現。
ミヤワキがAI活用のクラウド図面管理システム図面バンクを導入、業務効率化と人件費削減を実現
株式会社New InnovationsのAIを活用したクラウド図面管理システム「図面バンク」が、1933年創業の老舗スチームトラップメーカー・株式会社ミヤワキに導入された。膨大な図面からの検索作業効率化や、関連文書の一元管理を実現し、業務効率の向上と人件費削減に貢献。今後はナレッジ管理やAIチャットボット機能など、さらなる機能拡充にも期待が寄せられている。
ミヤワキがAI活用のクラウド図面管理システム図面バンクを導入、業務効率化と人件費削減を実現
株式会社New InnovationsのAIを活用したクラウド図面管理システム「図面バンク」が、1933年創業の老舗スチームトラップメーカー・株式会社ミヤワキに導入された。膨大な図面からの検索作業効率化や、関連文書の一元管理を実現し、業務効率の向上と人件費削減に貢献。今後はナレッジ管理やAIチャットボット機能など、さらなる機能拡充にも期待が寄せられている。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...
OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。
【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...
OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。
【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...
WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。
【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...
WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。
オーシャンブリッジがAnsible Playbookマネジメントプラットフォームのsteamp...
オーシャンブリッジが、XLABが開発したAnsible Playbookマネジメントプラットフォーム「Steampunk Spotter」の国内販売を2025年2月28日より開始した。Ansible Playbookのスキャンと自動修正機能により、ITインフラ構築の自動化における信頼性向上と運用効率化を実現。深刻なIT人材不足に対応し、効率的でスケーラブルなIT運用を支援する。
オーシャンブリッジがAnsible Playbookマネジメントプラットフォームのsteamp...
オーシャンブリッジが、XLABが開発したAnsible Playbookマネジメントプラットフォーム「Steampunk Spotter」の国内販売を2025年2月28日より開始した。Ansible Playbookのスキャンと自動修正機能により、ITインフラ構築の自動化における信頼性向上と運用効率化を実現。深刻なIT人材不足に対応し、効率的でスケーラブルなIT運用を支援する。