Tech Insights

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード実行の危険性

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード...

2025年4月28日、MITRE CorporationはIPW Systems Metazoバージョン8.1.3以前における深刻な脆弱性CVE-2025-46661を公開した。未認証のリモートコード実行が可能で、CVSSスコアは10.0(CRITICAL)と評価されている。IPW Systemsは全てのインスタンスにパッチを適用済みと発表しているが、迅速なアップデートが推奨される。サーバサイドテンプレートインジェクション(SSTI)が原因だ。

IPW Systems Metazoの脆弱性CVE-2025-46661が公開、リモートコード...

2025年4月28日、MITRE CorporationはIPW Systems Metazoバージョン8.1.3以前における深刻な脆弱性CVE-2025-46661を公開した。未認証のリモートコード実行が可能で、CVSSスコアは10.0(CRITICAL)と評価されている。IPW Systemsは全てのインスタンスにパッチを適用済みと発表しているが、迅速なアップデートが推奨される。サーバサイドテンプレートインジェクション(SSTI)が原因だ。

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマンドインジェクションのリスク

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマン...

2025年4月28日、inclusionAI AWorldに存在する深刻な脆弱性CVE-2025-4032がVulDBにより公開された。この脆弱性は、shell_tool.pyファイルのsubprocess.run/subprocess.Popen関数におけるOSコマンドインジェクションであり、リモートからの攻撃が可能で、深刻度レベルはクリティカルと評価されている。バージョン管理が行われていないため、影響を受けるバージョンは不明だが、全てのユーザーは注意が必要だ。

inclusionAI AWorldの深刻な脆弱性CVE-2025-4032が公開、OSコマン...

2025年4月28日、inclusionAI AWorldに存在する深刻な脆弱性CVE-2025-4032がVulDBにより公開された。この脆弱性は、shell_tool.pyファイルのsubprocess.run/subprocess.Popen関数におけるOSコマンドインジェクションであり、リモートからの攻撃が可能で、深刻度レベルはクリティカルと評価されている。バージョン管理が行われていないため、影響を受けるバージョンは不明だが、全てのユーザーは注意が必要だ。

IBM Db2 12.1.0~12.1.1の脆弱性CVE-2025-1493が公開、サービス拒否攻撃への対策を

IBM Db2 12.1.0~12.1.1の脆弱性CVE-2025-1493が公開、サービス拒...

IBMは、Db2 for Linux、UNIX、Windows 12.1.0~12.1.1におけるサービス拒否脆弱性CVE-2025-1493を公開した。認証済みユーザーによる共有リソースの同時実行を悪用した攻撃が可能で、CVSSスコアは5.3(MEDIUM)。IBMは修正プログラムを提供しており、速やかなアップデートが推奨される。この脆弱性は、共有リソースの不適切な同期に起因する。

IBM Db2 12.1.0~12.1.1の脆弱性CVE-2025-1493が公開、サービス拒...

IBMは、Db2 for Linux、UNIX、Windows 12.1.0~12.1.1におけるサービス拒否脆弱性CVE-2025-1493を公開した。認証済みユーザーによる共有リソースの同時実行を悪用した攻撃が可能で、CVSSスコアは5.3(MEDIUM)。IBMは修正プログラムを提供しており、速やかなアップデートが推奨される。この脆弱性は、共有リソースの不適切な同期に起因する。

IBM Db2の脆弱性CVE-2025-1000、サービス拒否攻撃への対策が急務

IBM Db2の脆弱性CVE-2025-1000、サービス拒否攻撃への対策が急務

IBMはDb2 for Linux, UNIX, Windows バージョン11.5.0~11.5.9、12.1.0~12.1.1におけるサービス拒否(DoS)脆弱性CVE-2025-1000を公開した。認証済みユーザーによる攻撃が可能で、迅速なパッチ適用が求められる。IBMの公式サポートページで詳細を確認し、適切な対策を実施すべきだ。

IBM Db2の脆弱性CVE-2025-1000、サービス拒否攻撃への対策が急務

IBMはDb2 for Linux, UNIX, Windows バージョン11.5.0~11.5.9、12.1.0~12.1.1におけるサービス拒否(DoS)脆弱性CVE-2025-1000を公開した。認証済みユーザーによる攻撃が可能で、迅速なパッチ適用が求められる。IBMの公式サポートページで詳細を確認し、適切な対策を実施すべきだ。

IBM Db2の脆弱性CVE-2025-0915、メモリ解放不備によるサービス拒否攻撃の可能性

IBM Db2の脆弱性CVE-2025-0915、メモリ解放不備によるサービス拒否攻撃の可能性

IBM社は2025年5月5日、Db2 for Linux, UNIX, Windows 11.5.0~11.5.9、12.1.0~12.1.1において、メモリ資源の解放不十分によるサービス拒否(DoS)の脆弱性CVE-2025-0915を発表した。認証済みユーザーによる攻撃が可能で、CVSSスコアは5.3(中程度)と評価されている。速やかな修正プログラムの適用が推奨される。

IBM Db2の脆弱性CVE-2025-0915、メモリ解放不備によるサービス拒否攻撃の可能性

IBM社は2025年5月5日、Db2 for Linux, UNIX, Windows 11.5.0~11.5.9、12.1.0~12.1.1において、メモリ資源の解放不十分によるサービス拒否(DoS)の脆弱性CVE-2025-0915を発表した。認証済みユーザーによる攻撃が可能で、CVSSスコアは5.3(中程度)と評価されている。速やかな修正プログラムの適用が推奨される。

Huawei HarmonyOS 5.0.0のセキュリティ脆弱性CVE-2025-46584を公開、高リスクと評価

Huawei HarmonyOS 5.0.0のセキュリティ脆弱性CVE-2025-46584を...

Huaweiは2025年5月6日、HarmonyOS 5.0.0におけるファイルシステムモジュールの脆弱性CVE-2025-46584を発表した。CVSSスコア7.8の高リスクと評価され、サービスの機密性に影響する可能性がある。Huaweiはユーザーに対し、速やかにシステムアップデートを行うよう推奨している。この脆弱性はCWE-280に分類され、ローカルアクセスを必要とする。

Huawei HarmonyOS 5.0.0のセキュリティ脆弱性CVE-2025-46584を...

Huaweiは2025年5月6日、HarmonyOS 5.0.0におけるファイルシステムモジュールの脆弱性CVE-2025-46584を発表した。CVSSスコア7.8の高リスクと評価され、サービスの機密性に影響する可能性がある。Huaweiはユーザーに対し、速やかにシステムアップデートを行うよう推奨している。この脆弱性はCWE-280に分類され、ローカルアクセスを必要とする。

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-34490、システムファイルへのアクセスリスク

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-...

2025年4月28日、VulnCheckはGFI MailEssentialsバージョン21.8以前における深刻なXXE脆弱性CVE-2025-34490を公開した。認証済みリモート攻撃者は、細工されたHTTPリクエストで任意のシステムファイルを読み取れる。速やかなバージョン21.8へのアップデートが強く推奨される。

GFI MailEssentials 21.8未満のバージョンにXXE脆弱性CVE-2025-...

2025年4月28日、VulnCheckはGFI MailEssentialsバージョン21.8以前における深刻なXXE脆弱性CVE-2025-34490を公開した。認証済みリモート攻撃者は、細工されたHTTPリクエストで任意のシステムファイルを読み取れる。速やかなバージョン21.8へのアップデートが強く推奨される。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8.0へのアップデートを推奨

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Fortra社、GoAnywhereの脆弱性CVE-2025-0049を公開、バージョン7.8...

Fortra社は2025年4月28日、GoAnywhereバージョン7.8.0以前における脆弱性CVE-2025-0049を公開した。エラーメッセージに絶対サーバーパスが含まれる脆弱性で、深刻度はLOWだが、迅速なアップデートが推奨される。本脆弱性により、アプリケーションマッピングのためのファジング攻撃が可能となる可能性があるため、注意が必要だ。

Docker Desktop for Windows 4.41.0以前のバージョンにおける権限昇格脆弱性CVE-2025-3224が公開

Docker Desktop for Windows 4.41.0以前のバージョンにおける権限...

Docker社は2025年4月28日、Docker Desktop for Windowsのアップデートプロセスにおける権限昇格脆弱性CVE-2025-3224を発表した。4.41.0より前のバージョンで、ローカルの低権限攻撃者がSYSTEM権限を昇格できる。不正なディレクトリの削除により、任意のシステムファイルを削除・操作できるため、迅速なアップデートが求められる。

Docker Desktop for Windows 4.41.0以前のバージョンにおける権限...

Docker社は2025年4月28日、Docker Desktop for Windowsのアップデートプロセスにおける権限昇格脆弱性CVE-2025-3224を発表した。4.41.0より前のバージョンで、ローカルの低権限攻撃者がSYSTEM権限を昇格できる。不正なディレクトリの削除により、任意のシステムファイルを削除・操作できるため、迅速なアップデートが求められる。

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバーサルによるスクリプトインジェクションリスク

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバ...

Dell EMCは2025年5月6日、Dell Storage Center - Dell Storage Managerにおけるパス・トラバーサル脆弱性CVE-2025-22479を公開した。2020 R1.21より前のバージョンが影響を受け、隣接ネットワークからの未認証攻撃でスクリプトインジェクションのリスクがある。CVSSスコアは3.5で、迅速なアップデートが必要だ。

Dell Storage Managerの脆弱性CVE-2025-22479公開、パス・トラバ...

Dell EMCは2025年5月6日、Dell Storage Center - Dell Storage Managerにおけるパス・トラバーサル脆弱性CVE-2025-22479を公開した。2020 R1.21より前のバージョンが影響を受け、隣接ネットワークからの未認証攻撃でスクリプトインジェクションのリスクがある。CVSSスコアは3.5で、迅速なアップデートが必要だ。

Dell Storage Managerの脆弱性CVE-2025-22477、セキュリティアップデートが公開され特権昇格リスクに対処

Dell Storage Managerの脆弱性CVE-2025-22477、セキュリティアッ...

Dell社は、Dell Storage Center - Dell Storage Managerバージョン20.1.20における不適切な認証の脆弱性CVE-2025-22477を公開した。認証されていない攻撃者による特権昇格のリスクがあり、2020 R1.21より前のバージョンが影響を受ける。Dell社はセキュリティアップデートを提供しており、ユーザーは速やかにアップデートを実施する必要がある。CVSSスコアは8.3(高)と評価されている。

Dell Storage Managerの脆弱性CVE-2025-22477、セキュリティアッ...

Dell社は、Dell Storage Center - Dell Storage Managerバージョン20.1.20における不適切な認証の脆弱性CVE-2025-22477を公開した。認証されていない攻撃者による特権昇格のリスクがあり、2020 R1.21より前のバージョンが影響を受ける。Dell社はセキュリティアップデートを提供しており、ユーザーは速やかにアップデートを実施する必要がある。CVSSスコアは8.3(高)と評価されている。

Dell PowerProtect Data Managerの脆弱性CVE-2025-23375、権限昇格リスクに対応するセキュリティアップデート公開

Dell PowerProtect Data Managerの脆弱性CVE-2025-2337...

Dell EMCは、Dell PowerProtect Data Manager Reporting バージョン19.15.0~19.18.0-23における深刻なセキュリティ脆弱性CVE-2025-23375を発表した。ローカルアクセスを持つ低権限の攻撃者による権限昇格を許すこの脆弱性に対し、Dellはセキュリティアップデートを提供している。迅速なアップデート適用が強く推奨される。

Dell PowerProtect Data Managerの脆弱性CVE-2025-2337...

Dell EMCは、Dell PowerProtect Data Manager Reporting バージョン19.15.0~19.18.0-23における深刻なセキュリティ脆弱性CVE-2025-23375を発表した。ローカルアクセスを持つ低権限の攻撃者による権限昇格を許すこの脆弱性に対し、Dellはセキュリティアップデートを提供している。迅速なアップデート適用が強く推奨される。

Dell PowerProtect Data Manager Reportingの脆弱性CVE-2025-23376が公開、情報漏洩リスク

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

Dell PowerProtect Data Manager Reportingの脆弱性CVE...

Dell EMCは2025年4月28日、Dell PowerProtect Data Manager Reporting バージョン19.16、19.17、19.18における脆弱性CVE-2025-23376を公開した。ローカルアクセスを持つ高権限の攻撃者による情報漏洩の可能性があり、Dellはセキュリティアップデートを提供している。CVSSスコアは2.3だが、影響を受けるユーザーは速やかにアップデートを実施すべきだ。

dazhouda lecms 3.0.3のCSRF脆弱性CVE-2025-3979が公開、迅速な対応が必要

dazhouda lecms 3.0.3のCSRF脆弱性CVE-2025-3979が公開、迅速...

VulDBは2025年4月27日、dazhouda lecms 3.0.3における深刻なセキュリティ脆弱性CVE-2025-3979を公開した。Password Change Handlerの/index.php?my-password-ajax-1ファイルに存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性で、リモート攻撃が可能。CVSSスコアは5.3(MEDIUM)と評価され、迅速な対応が求められる。ユーザーは、lecmsのアップデートまたは脆弱性対策を講じる必要がある。

dazhouda lecms 3.0.3のCSRF脆弱性CVE-2025-3979が公開、迅速...

VulDBは2025年4月27日、dazhouda lecms 3.0.3における深刻なセキュリティ脆弱性CVE-2025-3979を公開した。Password Change Handlerの/index.php?my-password-ajax-1ファイルに存在するクロスサイトリクエストフォージェリ(CSRF)脆弱性で、リモート攻撃が可能。CVSSスコアは5.3(MEDIUM)と評価され、迅速な対応が求められる。ユーザーは、lecmsのアップデートまたは脆弱性対策を講じる必要がある。

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-4340が公開、リモートコマンドインジェクションが可能に

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-43...

D-Link DIR-890LとDIR-806A1ルーターの深刻な脆弱性CVE-2025-4340がVulDBにより公開された。soap.cgiファイルのsub_175C8関数にコマンドインジェクションの脆弱性が存在し、リモートから攻撃が可能だ。100CNb11および108B03バージョンまでの製品が影響を受け、サポート終了製品であるためメーカーによるパッチ提供は期待できない。ユーザーは早急な対策が必要となる。

D-Link DIR-890L/DIR-806A1ルーターの深刻な脆弱性CVE-2025-43...

D-Link DIR-890LとDIR-806A1ルーターの深刻な脆弱性CVE-2025-4340がVulDBにより公開された。soap.cgiファイルのsub_175C8関数にコマンドインジェクションの脆弱性が存在し、リモートから攻撃が可能だ。100CNb11および108B03バージョンまでの製品が影響を受け、サポート終了製品であるためメーカーによるパッチ提供は期待できない。ユーザーは早急な対策が必要となる。

D-Link DIR-880Lバージョン104WWb01以前へのコマンドインジェクション脆弱性CVE-2025-4341が公開

D-Link DIR-880Lバージョン104WWb01以前へのコマンドインジェクション脆弱性...

2025年5月6日、VulDBはD-Link DIR-880Lルーターの深刻な脆弱性CVE-2025-4341を公開した。バージョン104WWb01以前の製品が影響を受け、リモートからのコマンドインジェクションが可能となる。既に公開済みのエクスプロイトが存在し、メーカーサポートも終了しているため、代替製品への移行が推奨される。

D-Link DIR-880Lバージョン104WWb01以前へのコマンドインジェクション脆弱性...

2025年5月6日、VulDBはD-Link DIR-880Lルーターの深刻な脆弱性CVE-2025-4341を公開した。バージョン104WWb01以前の製品が影響を受け、リモートからのコマンドインジェクションが可能となる。既に公開済みのエクスプロイトが存在し、メーカーサポートも終了しているため、代替製品への移行が推奨される。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4350が公開、リモートコマンドインジェクションが可能に

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4350が公開、リモートコマンド...

2025年5月6日、VulDBはD-Link DIR-600Lルーター(バージョン2.07B01まで)の深刻な脆弱性CVE-2025-4350を発表した。wake_on-lan機能におけるコマンドインジェクションにより、リモート攻撃が可能となる。CVSSスコアは8.7と高く、早急な対策が必要だ。サポート終了製品への影響も懸念される。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4350が公開、リモートコマンド...

2025年5月6日、VulDBはD-Link DIR-600Lルーター(バージョン2.07B01まで)の深刻な脆弱性CVE-2025-4350を発表した。wake_on-lan機能におけるコマンドインジェクションにより、リモート攻撃が可能となる。CVSSスコアは8.7と高く、早急な対策が必要だ。サポート終了製品への影響も懸念される。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4349が公開、リモートコマンドインジェクションが可能に

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4349が公開、リモートコマンド...

2025年5月6日、VulDBはD-Link DIR-600Lルーター(バージョン2.07B01まで)の深刻な脆弱性CVE-2025-4349を発表した。formSysCmd関数におけるコマンドインジェクションの脆弱性により、リモートからの攻撃が可能となる。既にサポートが終了している製品に影響するため、ユーザーは早急な対策が必要だ。VulDBの公開情報に基づき、適切な対策を講じるべきである。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4349が公開、リモートコマンド...

2025年5月6日、VulDBはD-Link DIR-600Lルーター(バージョン2.07B01まで)の深刻な脆弱性CVE-2025-4349を発表した。formSysCmd関数におけるコマンドインジェクションの脆弱性により、リモートからの攻撃が可能となる。既にサポートが終了している製品に影響するため、ユーザーは早急な対策が必要だ。VulDBの公開情報に基づき、適切な対策を講じるべきである。

D-Link DIR-600L バージョン2.07B01以前のバッファオーバーフロー脆弱性CVE-2025-4347が公開

D-Link DIR-600L バージョン2.07B01以前のバッファオーバーフロー脆弱性CV...

2025年5月6日、VulDBはD-Link DIR-600Lルーターの深刻な脆弱性CVE-2025-4347を公開した。バージョン2.07B01以前のDIR-600Lに影響し、formWlSiteSurvey関数におけるバッファオーバーフローが原因でリモート攻撃が可能となる。CVSSスコアは8.7と高く、メーカーサポートは終了しているため、迅速な対策が必要だ。

D-Link DIR-600L バージョン2.07B01以前のバッファオーバーフロー脆弱性CV...

2025年5月6日、VulDBはD-Link DIR-600Lルーターの深刻な脆弱性CVE-2025-4347を公開した。バージョン2.07B01以前のDIR-600Lに影響し、formWlSiteSurvey関数におけるバッファオーバーフローが原因でリモート攻撃が可能となる。CVSSスコアは8.7と高く、メーカーサポートは終了しているため、迅速な対策が必要だ。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4342が公開、リモート攻撃のリスク

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4342が公開、リモート攻撃のリスク

D-Linkは2025年5月6日、ルーター製品DIR-600Lバージョン2.07B01以前における深刻な脆弱性CVE-2025-4342を公開した。formEasySetupWizard3関数におけるバッファオーバーフローが原因で、リモート攻撃が可能。CVSSv4スコアは8.7と高く、早急な対策が必要だ。VulDBにも関連情報が掲載されている。

D-Link DIR-600Lの深刻な脆弱性CVE-2025-4342が公開、リモート攻撃のリスク

D-Linkは2025年5月6日、ルーター製品DIR-600Lバージョン2.07B01以前における深刻な脆弱性CVE-2025-4342を公開した。formEasySetupWizard3関数におけるバッファオーバーフローが原因で、リモート攻撃が可能。CVSSv4スコアは8.7と高く、早急な対策が必要だ。VulDBにも関連情報が掲載されている。

Couchbase Serverの脆弱性CVE-2025-46619が公開、7.6.4以前のバージョンに影響

Couchbase Serverの脆弱性CVE-2025-46619が公開、7.6.4以前のバ...

MITRE Corporationは2025年4月30日、Couchbase Serverのセキュリティ脆弱性CVE-2025-46619を公開した。バージョン7.6.4以前のCouchbase Serverに影響し、不正アクセスによる機密ファイルへのアクセスを許容する可能性がある。7.6.4と7.2.7(Windows版)で修正済み。早急なアップデートが必要だ。

Couchbase Serverの脆弱性CVE-2025-46619が公開、7.6.4以前のバ...

MITRE Corporationは2025年4月30日、Couchbase Serverのセキュリティ脆弱性CVE-2025-46619を公開した。バージョン7.6.4以前のCouchbase Serverに影響し、不正アクセスによる機密ファイルへのアクセスを許容する可能性がある。7.6.4と7.2.7(Windows版)で修正済み。早急なアップデートが必要だ。

code-projects Theater Seat Booking System 1.0の深刻な脆弱性CVE-2025-4062が公開

code-projects Theater Seat Booking System 1.0の深...

2025年4月29日、code-projects Theater Seat Booking System 1.0において、cancel関数でスタックベースのバッファオーバーフロー脆弱性CVE-2025-4062が発見された。CVSSスコアは4.8(MEDIUM)と評価され、ローカルホストからの攻撃が可能。zzzxc(VulDB User)がVulDB(VDB-306499)に報告した。迅速なパッチ適用が求められる。

code-projects Theater Seat Booking System 1.0の深...

2025年4月29日、code-projects Theater Seat Booking System 1.0において、cancel関数でスタックベースのバッファオーバーフロー脆弱性CVE-2025-4062が発見された。CVSSスコアは4.8(MEDIUM)と評価され、ローカルホストからの攻撃が可能。zzzxc(VulDB User)がVulDB(VDB-306499)に報告した。迅速なパッチ適用が求められる。

code-projects Personal Diary Management System 1.0の深刻な脆弱性CVE-2025-4029が公開、迅速な対応が必要

code-projects Personal Diary Management System ...

2025年4月28日、VulDBはcode-projects Personal Diary Management System 1.0における深刻な脆弱性CVE-2025-4029を公開した。これは、New Record Handlerコンポーネントのaddrecord関数に存在するスタックベースのバッファオーバーフローで、ローカルアクセスを必要とするものの、既に公開されているため悪用される可能性がある。CVSSv3スコアは5.3、CVSSv4スコアは4.8と評価されており、迅速な対応が求められる。

code-projects Personal Diary Management System ...

2025年4月28日、VulDBはcode-projects Personal Diary Management System 1.0における深刻な脆弱性CVE-2025-4029を公開した。これは、New Record Handlerコンポーネントのaddrecord関数に存在するスタックベースのバッファオーバーフローで、ローカルアクセスを必要とするものの、既に公開されているため悪用される可能性がある。CVSSv3スコアは5.3、CVSSv4スコアは4.8と評価されており、迅速な対応が求められる。

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4143を修正、OAuth実装のセキュリティ強化

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4...

Cloudflareは2025年5月1日、workers-oauth-providerにおけるOAuth実装の脆弱性CVE-2025-4143を修正したと発表した。この脆弱性により、攻撃者はredirect_uriの検証不足を悪用して、被害者の認証情報を窃取する可能性があった。修正プログラムはGitHubで公開されており、影響を受けるユーザーは速やかにアップデートを行う必要がある。OAuthセキュリティの重要性を改めて認識させる出来事だ。

Cloudflareがworkers-oauth-providerの脆弱性CVE-2025-4...

Cloudflareは2025年5月1日、workers-oauth-providerにおけるOAuth実装の脆弱性CVE-2025-4143を修正したと発表した。この脆弱性により、攻撃者はredirect_uriの検証不足を悪用して、被害者の認証情報を窃取する可能性があった。修正プログラムはGitHubで公開されており、影響を受けるユーザーは速やかにアップデートを行う必要がある。OAuthセキュリティの重要性を改めて認識させる出来事だ。

Cato NetworksがCatoClientの脆弱性CVE-2025-3886を公開、macOSユーザーへのアップデート推奨

Cato NetworksがCatoClientの脆弱性CVE-2025-3886を公開、ma...

Cato Networksは2025年4月27日、CatoClientバージョン5.8.0未満におけるセキュリティ脆弱性CVE-2025-3886を公開した。この脆弱性は、PrivilegedHelperToolコンポーネントの競合状態(TOCTOU)を利用した特権昇格を許容する。macOSユーザーは速やかにバージョン5.8.0以上にアップデートする必要がある。CVSSスコアは5.7(MEDIUM)で、CWE-362に分類される。

Cato NetworksがCatoClientの脆弱性CVE-2025-3886を公開、ma...

Cato Networksは2025年4月27日、CatoClientバージョン5.8.0未満におけるセキュリティ脆弱性CVE-2025-3886を公開した。この脆弱性は、PrivilegedHelperToolコンポーネントの競合状態(TOCTOU)を利用した特権昇格を許容する。macOSユーザーは速やかにバージョン5.8.0以上にアップデートする必要がある。CVSSスコアは5.7(MEDIUM)で、CWE-362に分類される。

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-3970が公開、迅速な対策が必要

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-397...

2025年4月27日、VulDBはbaseweb JSiteバージョン1.0までのソフトウェアに存在するクロスサイトスクリプティング脆弱性CVE-2025-3970を公開した。`/sys/office/save`ファイルの`Remarks`引数の操作が原因で、リモートからの攻撃が可能。CVSSv4スコアは5.1(MEDIUM)と評価され、ユーザーは速やかなバージョンアップまたは対策が必要だ。

baseweb JSite 1.0のクロスサイトスクリプティング脆弱性CVE-2025-397...

2025年4月27日、VulDBはbaseweb JSiteバージョン1.0までのソフトウェアに存在するクロスサイトスクリプティング脆弱性CVE-2025-3970を公開した。`/sys/office/save`ファイルの`Remarks`引数の操作が原因で、リモートからの攻撃が可能。CVSSv4スコアは5.1(MEDIUM)と評価され、ユーザーは速やかなバージョンアップまたは対策が必要だ。

Mydata Informatics Ticket Sales Automationの深刻なSQLインジェクション脆弱性CVE-2025-2812が公開

Mydata Informatics Ticket Sales Automationの深刻なS...

トルコのTR-CERTは、Mydata Informatics社のTicket Sales AutomationにおけるクリティカルなSQLインジェクション脆弱性CVE-2025-2812を2025年5月2日に公開した。2025年4月3日以前のバージョンの製品に影響し、Blind SQL Injectionによるデータ漏洩のリスクがある。迅速なアップデートが求められる。

Mydata Informatics Ticket Sales Automationの深刻なS...

トルコのTR-CERTは、Mydata Informatics社のTicket Sales AutomationにおけるクリティカルなSQLインジェクション脆弱性CVE-2025-2812を2025年5月2日に公開した。2025年4月3日以前のバージョンの製品に影響し、Blind SQL Injectionによるデータ漏洩のリスクがある。迅速なアップデートが求められる。

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、XPathパース処理の欠陥が原因でメモリ破損の可能性

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、X...

Mozillaは2025年4月29日、Thunderbirdにおけるセキュリティ脆弱性CVE-2025-4087を公開した。XPathパース処理におけるヌルチェックの欠如が原因で、境界外読み込みやメモリ破損が発生する可能性がある。FirefoxとThunderbirdの特定バージョンに影響し、速やかなアップデートが推奨される。Ivan Fratric氏による発見に感謝を示している。

MozillaがThunderbirdのセキュリティ脆弱性CVE-2025-4087を公開、X...

Mozillaは2025年4月29日、Thunderbirdにおけるセキュリティ脆弱性CVE-2025-4087を公開した。XPathパース処理におけるヌルチェックの欠如が原因で、境界外読み込みやメモリ破損が発生する可能性がある。FirefoxとThunderbirdの特定バージョンに影響し、速やかなアップデートが推奨される。Ivan Fratric氏による発見に感謝を示している。

MozillaがThunderbirdとFirefoxの深刻な脆弱性CVE-2025-4083を修正

MozillaがThunderbirdとFirefoxの深刻な脆弱性CVE-2025-4083を修正

Mozillaは、ThunderbirdとFirefoxにおける深刻なセキュリティ脆弱性CVE-2025-4083を修正するアップデートをリリースした。javascript: URIの不正な処理が原因で、サンドボックスを回避される可能性があった。Firefox 138以前、Thunderbird 138以前などが影響を受けるため、早急なアップデートが推奨される。

MozillaがThunderbirdとFirefoxの深刻な脆弱性CVE-2025-4083を修正

Mozillaは、ThunderbirdとFirefoxにおける深刻なセキュリティ脆弱性CVE-2025-4083を修正するアップデートをリリースした。javascript: URIの不正な処理が原因で、サンドボックスを回避される可能性があった。Firefox 138以前、Thunderbird 138以前などが影響を受けるため、早急なアップデートが推奨される。

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正、セキュリティアップデートを公開

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正...

Mozilla Corporationは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4089として識別される脆弱性に対処し、特殊文字のエスケープ処理の不備によるローカルコード実行の可能性を解消した。Firefox 138未満、Thunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかにアップデートを行うべきだ。

MozillaがFirefoxとThunderbirdの脆弱性CVE-2025-4089を修正...

Mozilla Corporationは2025年4月29日、FirefoxとThunderbirdのセキュリティアップデートを公開した。CVE-2025-4089として識別される脆弱性に対処し、特殊文字のエスケープ処理の不備によるローカルコード実行の可能性を解消した。Firefox 138未満、Thunderbird 138未満のバージョンが影響を受けるため、ユーザーは速やかにアップデートを行うべきだ。