Tech Insights

GET WalletがCardanoとEthereumに対応した次世代Web3ウォレットを正式リリース、エンタメ特化の新経済圏創出へ

GET WalletがCardanoとEthereumに対応した次世代Web3ウォレットを正式...

GET Entertainment Inc.が次世代Web3ウォレット「GET Wallet」を2025年4月1日に正式リリース。CardanoとEthereumのマルチチェーンに対応し、NFTやトークンの一元管理を実現。Web2とWeb3の統合による直感的な操作性と高い安全性を備え、エンターテイメント業界における新たな経済圏の創出を目指す。今後はモバイルアプリの開発も予定されており、さらなる利便性の向上が期待される。

GET WalletがCardanoとEthereumに対応した次世代Web3ウォレットを正式...

GET Entertainment Inc.が次世代Web3ウォレット「GET Wallet」を2025年4月1日に正式リリース。CardanoとEthereumのマルチチェーンに対応し、NFTやトークンの一元管理を実現。Web2とWeb3の統合による直感的な操作性と高い安全性を備え、エンターテイメント業界における新たな経済圏の創出を目指す。今後はモバイルアプリの開発も予定されており、さらなる利便性の向上が期待される。

マジセミ社がセキュリティ対策ウェビナーを開催、アタックサーフェス管理による先手の防御策を提案

マジセミ社がセキュリティ対策ウェビナーを開催、アタックサーフェス管理による先手の防御策を提案

マジセミ株式会社が2025年4月2日に中堅・中小企業向けセキュリティウェビナーを開催する。増え続けるアタックサーフェスに対し、WithSecure Elements Exposure Managementを活用したエクスポージャー管理の実践方法を解説する。経済産業省が2023年5月に公表したASM導入ガイダンスを踏まえ、外部公開IT資産のリスク管理手法や保険会社のユースケースを紹介する。

マジセミ社がセキュリティ対策ウェビナーを開催、アタックサーフェス管理による先手の防御策を提案

マジセミ株式会社が2025年4月2日に中堅・中小企業向けセキュリティウェビナーを開催する。増え続けるアタックサーフェスに対し、WithSecure Elements Exposure Managementを活用したエクスポージャー管理の実践方法を解説する。経済産業省が2023年5月に公表したASM導入ガイダンスを踏まえ、外部公開IT資産のリスク管理手法や保険会社のユースケースを紹介する。

【CVE-2025-1932】MozillaのFirefoxとThunderbirdに深刻な脆弱性、範囲外アクセスの危険性が判明

【CVE-2025-1932】MozillaのFirefoxとThunderbirdに深刻な脆...

Mozillaは2025年3月4日、FirefoxとThunderbirdの複数バージョンに影響を与える重大な脆弱性を公開した。xslt/txNodeSorterの不整合な比較処理に起因する本脆弱性は、Firefox 136未満とThunderbird 136未満のバージョンに影響を与え、特にバージョン122以降で発生する可能性がある。CVSSスコア8.1の高リスク脆弱性として評価されており、早急な対応が推奨される。

【CVE-2025-1932】MozillaのFirefoxとThunderbirdに深刻な脆...

Mozillaは2025年3月4日、FirefoxとThunderbirdの複数バージョンに影響を与える重大な脆弱性を公開した。xslt/txNodeSorterの不整合な比較処理に起因する本脆弱性は、Firefox 136未満とThunderbird 136未満のバージョンに影響を与え、特にバージョン122以降で発生する可能性がある。CVSSスコア8.1の高リスク脆弱性として評価されており、早急な対応が推奨される。

【CVE-2025-1941】Firefoxの認証バイパス脆弱性が発覚、バージョン136未満に深刻な影響

【CVE-2025-1941】Firefoxの認証バイパス脆弱性が発覚、バージョン136未満に...

Mozilla Corporationは2025年3月4日、Firefoxブラウザの認証設定に関する重大な脆弱性を公開した。Firefox 136未満のバージョンで認証要求設定がバイパスされる可能性があり、CVSSスコア9.1のCritical評価となっている。特別な権限を必要とせずネットワーク経由での攻撃が可能なため、ユーザーには速やかなアップデートが推奨される。

【CVE-2025-1941】Firefoxの認証バイパス脆弱性が発覚、バージョン136未満に...

Mozilla Corporationは2025年3月4日、Firefoxブラウザの認証設定に関する重大な脆弱性を公開した。Firefox 136未満のバージョンで認証要求設定がバイパスされる可能性があり、CVSSスコア9.1のCritical評価となっている。特別な権限を必要とせずネットワーク経由での攻撃が可能なため、ユーザーには速やかなアップデートが推奨される。

【CVE-2025-1942】FirefoxとThunderbirdに未初期化メモリ混入の脆弱性、クリティカルレベルの対応が必要

【CVE-2025-1942】FirefoxとThunderbirdに未初期化メモリ混入の脆弱...

MozillaはFirefoxとThunderbirdに影響を与える重大な脆弱性CVE-2025-1942を公開した。String.toUpperCase()メソッドで文字列が長くなった際に未初期化メモリが混入する可能性があり、Firefox 136未満とThunderbird 136未満が影響を受ける。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃の自動化も可能とされているため、早急な対応が必要だ。

【CVE-2025-1942】FirefoxとThunderbirdに未初期化メモリ混入の脆弱...

MozillaはFirefoxとThunderbirdに影響を与える重大な脆弱性CVE-2025-1942を公開した。String.toUpperCase()メソッドで文字列が長くなった際に未初期化メモリが混入する可能性があり、Firefox 136未満とThunderbird 136未満が影響を受ける。CVSSスコア9.8のクリティカルな脆弱性として評価され、攻撃の自動化も可能とされているため、早急な対応が必要だ。

【CVE-2025-2003】Devolutions Server 2024.3.12にPAMボルト認証バイパスの脆弱性、認証済みユーザーによるroot権限取得の危険性

【CVE-2025-2003】Devolutions Server 2024.3.12にPAM...

Devolutions Serverの2024.3.12以前のバージョンにおいて、PAMボルトの認証システムに重大な脆弱性が発見された。CVSSスコア7.1(High)と評価されており、認証済みユーザーがroot権限を不正に取得できる可能性がある。この脆弱性はCWE-863に分類され、現時点で自動化された攻撃は確認されていないものの、システムに部分的な影響を及ぼす可能性があるため、早急な対策が推奨されている。

【CVE-2025-2003】Devolutions Server 2024.3.12にPAM...

Devolutions Serverの2024.3.12以前のバージョンにおいて、PAMボルトの認証システムに重大な脆弱性が発見された。CVSSスコア7.1(High)と評価されており、認証済みユーザーがroot権限を不正に取得できる可能性がある。この脆弱性はCWE-863に分類され、現時点で自動化された攻撃は確認されていないものの、システムに部分的な影響を及ぼす可能性があるため、早急な対策が推奨されている。

【CVE-2025-27170】Adobe Illustrator 29.2.1にNULLポインタ参照の脆弱性、サービス拒否の危険性

【CVE-2025-27170】Adobe Illustrator 29.2.1にNULLポイ...

Adobe IllustratorのバージョンIllustrator 29.2.1および28.7.4以前に、NULLポインタ参照の脆弱性が発見された。この脆弱性はCVE-2025-27170として識別され、攻撃者が悪意のあるファイルを用意し、ユーザーにそのファイルを開かせることでアプリケーションのクラッシュを引き起こす可能性がある。CVSSスコアは5.5で中程度の深刻度とされており、早急な対応が推奨される。

【CVE-2025-27170】Adobe Illustrator 29.2.1にNULLポイ...

Adobe IllustratorのバージョンIllustrator 29.2.1および28.7.4以前に、NULLポインタ参照の脆弱性が発見された。この脆弱性はCVE-2025-27170として識別され、攻撃者が悪意のあるファイルを用意し、ユーザーにそのファイルを開かせることでアプリケーションのクラッシュを引き起こす可能性がある。CVSSスコアは5.5で中程度の深刻度とされており、早急な対応が推奨される。

【CVE-2025-27168】Adobe Illustrator 29.2.1と28.7.4以前のバージョンにスタックベースのバッファオーバーフロー脆弱性、任意のコード実行のリスク

【CVE-2025-27168】Adobe Illustrator 29.2.1と28.7.4...

Adobe Illustratorの複数バージョンにおいて、スタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2025-27168として識別され、CVSSスコア7.8の高リスク評価となっている。影響を受けるバージョンは29.2.1および28.7.4以前で、悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。Adobeは対策情報をセキュリティ勧告APSB25-17として公開している。

【CVE-2025-27168】Adobe Illustrator 29.2.1と28.7.4...

Adobe Illustratorの複数バージョンにおいて、スタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2025-27168として識別され、CVSSスコア7.8の高リスク評価となっている。影響を受けるバージョンは29.2.1および28.7.4以前で、悪意のあるファイルを開くことで任意のコード実行が可能となる危険性がある。Adobeは対策情報をセキュリティ勧告APSB25-17として公開している。

【CVE-2025-1636】Devolutions Remote Desktop Managerに認証情報漏洩の脆弱性、共有ボルトでの情報露出のリスクに注意

【CVE-2025-1636】Devolutions Remote Desktop Manag...

Devolutions社のRemote Desktop Manager 2024.3.29以前のWindows版において、My Personal Credentialsパスワード履歴コンポーネントに認証情報が漏洩する脆弱性が発見された。共有ボルト内での履歴クリア機能使用時にビジネスロジックの不備により個人認証情報が意図せず漏洩する可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。

【CVE-2025-1636】Devolutions Remote Desktop Manag...

Devolutions社のRemote Desktop Manager 2024.3.29以前のWindows版において、My Personal Credentialsパスワード履歴コンポーネントに認証情報が漏洩する脆弱性が発見された。共有ボルト内での履歴クリア機能使用時にビジネスロジックの不備により個人認証情報が意図せず漏洩する可能性があり、CVSSスコア6.5の中程度の深刻度と評価されている。

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取りの危険性

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2025-2280】Devolutions Server 2024.3.4.0にアクセス制御の脆弱性、認証済みユーザーによる制限機能のバイパスが可能に

【CVE-2025-2280】Devolutions Server 2024.3.4.0にアク...

Devolutions社は2025年3月13日、Devolutions Server 2024.3.4.0以前のバージョンにおいて認証済みユーザーがブラウザ拡張機能の制限をバイパスできる脆弱性を公開した。CVE-2025-2280として識別されるこの脆弱性は、CVSSスコア8.1のハイリスクと評価されており、機密性と完全性への影響が高いとされている。早急な対策が求められる事態となっている。

【CVE-2025-2280】Devolutions Server 2024.3.4.0にアク...

Devolutions社は2025年3月13日、Devolutions Server 2024.3.4.0以前のバージョンにおいて認証済みユーザーがブラウザ拡張機能の制限をバイパスできる脆弱性を公開した。CVE-2025-2280として識別されるこの脆弱性は、CVSSスコア8.1のハイリスクと評価されており、機密性と完全性への影響が高いとされている。早急な対策が求められる事態となっている。

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切なアクセス制御の脆弱性、認証済みユーザーによる情報アクセスのリスク

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...

Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...

Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。

【CVE-2025-1635】Devolutions Remote Desktop Managerに認証セッション情報漏洩の脆弱性、バージョン2024.3.29以前のWindows版が影響

【CVE-2025-1635】Devolutions Remote Desktop Manag...

DevolutionsはRemote Desktop Manager 2024.3.29以前のWindows版において、認証済みセッション情報が意図せず漏洩する脆弱性を公開した。CVE-2025-1635として識別されるこの脆弱性は、hubデータソースのエクスポート機能でビジネスロジックの不備により発生。CVSS基本スコアは6.5で中程度の深刻度と評価されており、早急なアップデートが推奨されている。

【CVE-2025-1635】Devolutions Remote Desktop Manag...

DevolutionsはRemote Desktop Manager 2024.3.29以前のWindows版において、認証済みセッション情報が意図せず漏洩する脆弱性を公開した。CVE-2025-1635として識別されるこの脆弱性は、hubデータソースのエクスポート機能でビジネスロジックの不備により発生。CVSS基本スコアは6.5で中程度の深刻度と評価されており、早急なアップデートが推奨されている。

【CVE-2025-28011】PHPGurukul User Registration & Login v3.3にSQLインジェクションの脆弱性、パスワード変更機能に深刻な影響

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-1669】WPSchoolPress 2.2.16にSQLインジェクション脆弱性、教師権限で情報漏洩の可能性

【CVE-2025-1669】WPSchoolPress 2.2.16にSQLインジェクション...

WordPressプラグインのWPSchoolPressにSQLインジェクション脆弱性が発見され、CVE-2025-1669として公開された。教師以上の権限を持つ認証済みユーザーが'addNotify'アクションを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5で、影響を受けるバージョンは2.2.16以前のすべてのバージョン。早急な対策が必要とされている。

【CVE-2025-1669】WPSchoolPress 2.2.16にSQLインジェクション...

WordPressプラグインのWPSchoolPressにSQLインジェクション脆弱性が発見され、CVE-2025-1669として公開された。教師以上の権限を持つ認証済みユーザーが'addNotify'アクションを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5で、影響を受けるバージョンは2.2.16以前のすべてのバージョン。早急な対策が必要とされている。

【CVE-2025-1670】WPSchoolPress 2.2.16にSQLインジェクションの脆弱性、教育機関の情報漏洩リスクに警鐘

【CVE-2025-1670】WPSchoolPress 2.2.16にSQLインジェクション...

WordPressプラグインのWPSchoolPressにおいて、バージョン2.2.16以前の全バージョンでSQLインジェクションの脆弱性が発見された。Custom以上の権限を持つ認証済みユーザーが、cidパラメータを悪用してデータベースから機密情報を抽出できる可能性がある。CVSSスコア6.5のこの脆弱性は、教育機関で使用される同プラグインの性質上、早急な対応が求められている。

【CVE-2025-1670】WPSchoolPress 2.2.16にSQLインジェクション...

WordPressプラグインのWPSchoolPressにおいて、バージョン2.2.16以前の全バージョンでSQLインジェクションの脆弱性が発見された。Custom以上の権限を持つ認証済みユーザーが、cidパラメータを悪用してデータベースから機密情報を抽出できる可能性がある。CVSSスコア6.5のこの脆弱性は、教育機関で使用される同プラグインの性質上、早急な対応が求められている。

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱性、PHPオブジェクトインジェクションの危険性が浮上

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...

WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...

WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深刻な脆弱性、認証不要なXSS攻撃が可能に

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、Subscriber権限から管理者権限への昇格が可能に

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...

WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...

WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscriber権限で重要情報にアクセス可能に

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...

WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...

WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バージョン3.1.8以前に影響

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2024-13847】WordPressプラグインPortfolio and Projectsに深刻なXSS脆弱性、マルチサイト環境に影響

【CVE-2024-13847】WordPressプラグインPortfolio and Pro...

WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。

【CVE-2024-13847】WordPressプラグインPortfolio and Pro...

WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱性、未認証での攻撃が可能に

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱...

ShineTheme社のWordPressテーマTravelerにおいて、バージョン3.1.8以前の全バージョンでローカルファイルインクルージョン脆弱性が発見された。hotel_alone_load_more_post機能のstyleパラメータを介して、未認証の攻撃者がサーバー上の任意のファイルを実行できる状態にある。CVSSスコア9.8の深刻な脆弱性として評価されており、早急な対応が求められる。

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱...

ShineTheme社のWordPressテーマTravelerにおいて、バージョン3.1.8以前の全バージョンでローカルファイルインクルージョン脆弱性が発見された。hotel_alone_load_more_post機能のstyleパラメータを介して、未認証の攻撃者がサーバー上の任意のファイルを実行できる状態にある。CVSSスコア9.8の深刻な脆弱性として評価されており、早急な対応が求められる。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプティングの脆弱性、管理者権限の悪用のリスクに

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆弱性、バージョン0.8.2以前に影響

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-29427】Online Class and Exam Scheduling System V1.0にXSS脆弱性、教育システムのセキュリティ対策が急務に

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSocketメッセージサイズ制限の無効化による深刻な影響

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSo...

Protect AIは2025年3月20日、機械学習実験追跡ツールaimhubio/aim 3.25.0にサービス拒否攻撃の脆弱性が存在することを公開した。CVSSスコア7.5の深刻度「HIGH」と評価されたこの脆弱性では、WebSocketメッセージの最大サイズ制限が無効化され、大容量画像データの処理中にサーバーが応答不能となる問題が確認されている。

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSo...

Protect AIは2025年3月20日、機械学習実験追跡ツールaimhubio/aim 3.25.0にサービス拒否攻撃の脆弱性が存在することを公開した。CVSSスコア7.5の深刻度「HIGH」と評価されたこの脆弱性では、WebSocketメッセージの最大サイズ制限が無効化され、大容量画像データの処理中にサーバーが応答不能となる問題が確認されている。

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリスクが明らかに

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリス...

Protect AIは2025年3月20日、Ollamaのバージョン0.3.14以前に存在する重大な脆弱性を公開した。CVE-2025-0312として報告されたこの脆弱性は、悪意のあるユーザーが特別に細工したGGUFモデルファイルをアップロードすることでNULLポインター参照を引き起こし、サーバーをクラッシュさせる可能性がある。CVSSスコア7.5のHIGHレベルの深刻度を持つこの脆弱性は、早急な対応が推奨される。

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリス...

Protect AIは2025年3月20日、Ollamaのバージョン0.3.14以前に存在する重大な脆弱性を公開した。CVE-2025-0312として報告されたこの脆弱性は、悪意のあるユーザーが特別に細工したGGUFモデルファイルをアップロードすることでNULLポインター参照を引き起こし、サーバーをクラッシュさせる可能性がある。CVSSスコア7.5のHIGHレベルの深刻度を持つこの脆弱性は、早急な対応が推奨される。

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオーバーフローによる攻撃の危険性が明らかに

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオー...

MITRE Corporationが2025年3月20日、Tenda AC6 V15.03.05.16のWiFi設定機能において重大な脆弱性を発見したことを公開した。timeZoneパラメータを使用した際に発生するスタックベースのバッファオーバーフローにより、システムの可用性に重大な影響を及ぼす可能性がある。CISSスコア7.5の高深刻度と評価され、自動化された攻撃も可能なため、早急な対応が求められている。

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオー...

MITRE Corporationが2025年3月20日、Tenda AC6 V15.03.05.16のWiFi設定機能において重大な脆弱性を発見したことを公開した。timeZoneパラメータを使用した際に発生するスタックベースのバッファオーバーフローにより、システムの可用性に重大な影響を及ぼす可能性がある。CISSスコア7.5の高深刻度と評価され、自動化された攻撃も可能なため、早急な対応が求められている。

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow...

D-Link DSL-3788 revA1 1.01R1B036_EU_ENにBuffer Overflow脆弱性が発見され、CISAが高深刻度(CVSS 7.5)の評価を発表した。webprocのCOMM_MAKECustomMsg関数に存在するこの脆弱性は、特権やユーザー操作を必要とせずリモートから攻撃可能な状態にあり、システムに部分的な影響を与える可能性があるため、早急な対策が求められている。

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow...

D-Link DSL-3788 revA1 1.01R1B036_EU_ENにBuffer Overflow脆弱性が発見され、CISAが高深刻度(CVSS 7.5)の評価を発表した。webprocのCOMM_MAKECustomMsg関数に存在するこの脆弱性は、特権やユーザー操作を必要とせずリモートから攻撃可能な状態にあり、システムに部分的な影響を与える可能性があるため、早急な対策が求められている。