Tech Insights

【CVE-2025-28019】TOTOLINK A800R V4.1.2cu.5137_B20200730にバッファオーバーフロー脆弱性、早急な対策が必要に

【CVE-2025-28019】TOTOLINK A800R V4.1.2cu.5137_B2...

MITRE Corporationが2025年4月23日、TOTOLINK A800R V4.1.2cu.5137_B20200730のdownloadFile.cgiコンポーネントにバッファオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.3を記録し、攻撃の自動化が可能で特権やユーザー関与が不要という特徴から、早急な対策が必要とされている。組織のセキュリティリスクに直結する重大な脆弱性として注目されている。

【CVE-2025-28019】TOTOLINK A800R V4.1.2cu.5137_B2...

MITRE Corporationが2025年4月23日、TOTOLINK A800R V4.1.2cu.5137_B20200730のdownloadFile.cgiコンポーネントにバッファオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.3を記録し、攻撃の自動化が可能で特権やユーザー関与が不要という特徴から、早急な対策が必要とされている。組織のセキュリティリスクに直結する重大な脆弱性として注目されている。

【CVE-2025-28144】Edimax BR-6478AC V3 1.0.15にスタックオーバーフロー脆弱性、早急な対策が必要に

【CVE-2025-28144】Edimax BR-6478AC V3 1.0.15にスタック...

MITREは2025年4月15日、Edimax AC1200 Wave 2 Dual-Band Gigabit Router BR-6478AC V3 1.0.15にスタックオーバーフロー脆弱性が発見されたと発表した。CVE-2025-28144として識別されるこの脆弱性は、formWsc関数内のpeerPin引数に関連しており、CVSSスコア6.5(MEDIUM)と評価されている。自動化可能な攻撃手法によって悪用される可能性があり、特別な権限や認証なしにネットワーク経由での攻撃が可能とされている。

【CVE-2025-28144】Edimax BR-6478AC V3 1.0.15にスタック...

MITREは2025年4月15日、Edimax AC1200 Wave 2 Dual-Band Gigabit Router BR-6478AC V3 1.0.15にスタックオーバーフロー脆弱性が発見されたと発表した。CVE-2025-28144として識別されるこの脆弱性は、formWsc関数内のpeerPin引数に関連しており、CVSSスコア6.5(MEDIUM)と評価されている。自動化可能な攻撃手法によって悪用される可能性があり、特別な権限や認証なしにネットワーク経由での攻撃が可能とされている。

AWSがAmazon Q Developer in GitHubを発表、AIによる自律的なコード開発とレビュー機能を搭載

AWSがAmazon Q Developer in GitHubを発表、AIによる自律的なコー...

AWSは2025年5月5日、生成AIによるコーディング支援ツール「Amazon Q Developer」の新機能として「Amazon Q Developer in GitHub」をプレビュー公開した。GitHubリポジトリに直接インストールすることで、AIエージェントが自律的にコード開発やレビューを行うことが可能になり、Java移行支援なども含めた包括的な開発支援機能を提供している。

AWSがAmazon Q Developer in GitHubを発表、AIによる自律的なコー...

AWSは2025年5月5日、生成AIによるコーディング支援ツール「Amazon Q Developer」の新機能として「Amazon Q Developer in GitHub」をプレビュー公開した。GitHubリポジトリに直接インストールすることで、AIエージェントが自律的にコード開発やレビューを行うことが可能になり、Java移行支援なども含めた包括的な開発支援機能を提供している。

GoogleがGmailの3DES暗号化サポートを終了、2025年5月からより安全な暗号化方式への移行が必須に

GoogleがGmailの3DES暗号化サポートを終了、2025年5月からより安全な暗号化方式...

Googleは2025年5月30日より、Gmailにおける3DES暗号化方式を使用したSMTP接続の受信サポートを終了することを発表した。この変更により、古い暗号化方式を使用するメールシステムはGmailアカウントへのメール配信ができなくなる。管理者は最新のTLS暗号スイートへの移行が必要となり、ヘルプセンターで詳細な移行ガイドラインが提供される。

GoogleがGmailの3DES暗号化サポートを終了、2025年5月からより安全な暗号化方式...

Googleは2025年5月30日より、Gmailにおける3DES暗号化方式を使用したSMTP接続の受信サポートを終了することを発表した。この変更により、古い暗号化方式を使用するメールシステムはGmailアカウントへのメール配信ができなくなる。管理者は最新のTLS暗号スイートへの移行が必要となり、ヘルプセンターで詳細な移行ガイドラインが提供される。

【CVE-2025-27194】Adobe Media Encoderに深刻な脆弱性、任意のコード実行の危険性が判明

【CVE-2025-27194】Adobe Media Encoderに深刻な脆弱性、任意のコ...

Adobeは2025年4月8日、Media Encoderにおいて深刻な脆弱性【CVE-2025-27194】を公開した。バージョン25.1および24.6.4以前に影響を与えるこの脆弱性は、CVSSスコア7.8と高い深刻度が評価されており、悪意のあるファイルを開くことで任意のコード実行が可能になる範囲外書き込みの脆弱性が確認されている。

【CVE-2025-27194】Adobe Media Encoderに深刻な脆弱性、任意のコ...

Adobeは2025年4月8日、Media Encoderにおいて深刻な脆弱性【CVE-2025-27194】を公開した。バージョン25.1および24.6.4以前に影響を与えるこの脆弱性は、CVSSスコア7.8と高い深刻度が評価されており、悪意のあるファイルを開くことで任意のコード実行が可能になる範囲外書き込みの脆弱性が確認されている。

【CVE-2025-27198】Adobe Photoshop Desktop 26.4.1以前のバージョンにバッファオーバーフロー脆弱性、任意のコード実行の危険性

【CVE-2025-27198】Adobe Photoshop Desktop 26.4.1以...

Adobe社がPhotoshop Desktopのバージョン25.12.1、26.4.1以前に影響を与えるヒープベースのバッファオーバーフロー脆弱性を公開。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行が可能となる。CISAも注意を呼びかけており、ユーザーは信頼できないファイルの開封に注意が必要。

【CVE-2025-27198】Adobe Photoshop Desktop 26.4.1以...

Adobe社がPhotoshop Desktopのバージョン25.12.1、26.4.1以前に影響を与えるヒープベースのバッファオーバーフロー脆弱性を公開。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行が可能となる。CISAも注意を呼びかけており、ユーザーは信頼できないファイルの開封に注意が必要。

【CVE-2025-27196】Adobe Premiere Proに深刻な脆弱性、ヒープベースバッファオーバーフローによる任意のコード実行の危険性

【CVE-2025-27196】Adobe Premiere Proに深刻な脆弱性、ヒープベー...

Adobeは2025年4月8日、Premiere Proのバージョン25.1および24.6.4以前に影響を与えるヒープベースバッファオーバーフロー脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行につながる可能性がある。現在のユーザーコンテキストでの実行により、機密性や完全性、可用性への影響が懸念される。

【CVE-2025-27196】Adobe Premiere Proに深刻な脆弱性、ヒープベー...

Adobeは2025年4月8日、Premiere Proのバージョン25.1および24.6.4以前に影響を与えるヒープベースバッファオーバーフロー脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行につながる可能性がある。現在のユーザーコンテキストでの実行により、機密性や完全性、可用性への影響が懸念される。

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険...

Adobe社が画像管理ソフトウェアBridgeにおいて重大な脆弱性を発見し公開。バージョン14.1.5および15.0.2以前が影響を受け、CVSSスコア7.8の高リスク評価。ヒープベースのバッファオーバーフローにより、悪意のあるファイルを開くことで任意のコード実行が可能となる脆弱性。CISAも評価を実施し、技術的影響は「total」と評価。

【CVE-2025-27193】Adobe Bridgeに深刻な脆弱性、任意のコード実行の危険...

Adobe社が画像管理ソフトウェアBridgeにおいて重大な脆弱性を発見し公開。バージョン14.1.5および15.0.2以前が影響を受け、CVSSスコア7.8の高リスク評価。ヒープベースのバッファオーバーフローにより、悪意のあるファイルを開くことで任意のコード実行が可能となる脆弱性。CISAも評価を実施し、技術的影響は「total」と評価。

【CVE-2025-27195】Adobe Media Encoderに深刻な脆弱性、任意のコード実行の危険性が判明

【CVE-2025-27195】Adobe Media Encoderに深刻な脆弱性、任意のコ...

Adobeは2025年4月8日、Media Encoder 25.1および24.6.4以前のバージョンにHeap-based Buffer Overflow脆弱性が存在することを公開した。CVSSスコア7.8(HIGH)と評価されたこの脆弱性は、ユーザーが悪意のあるファイルを開くことで任意のコード実行を引き起こす可能性がある。CISAの評価では自動化された攻撃は確認されていないものの、技術的な影響は重大と判断されている。

【CVE-2025-27195】Adobe Media Encoderに深刻な脆弱性、任意のコ...

Adobeは2025年4月8日、Media Encoder 25.1および24.6.4以前のバージョンにHeap-based Buffer Overflow脆弱性が存在することを公開した。CVSSスコア7.8(HIGH)と評価されたこの脆弱性は、ユーザーが悪意のあるファイルを開くことで任意のコード実行を引き起こす可能性がある。CISAの評価では自動化された攻撃は確認されていないものの、技術的な影響は重大と判断されている。

【CVE-2025-31650】Apache Tomcatに深刻なDoS脆弱性、メモリリーク問題でサービス停止の危険性

【CVE-2025-31650】Apache Tomcatに深刻なDoS脆弱性、メモリリーク問...

Apache Software Foundationが2025年4月28日、Apache Tomcatの複数バージョンに影響するDoS脆弱性を公表した。不正なHTTPプライオリティヘッダーの処理によるメモリリークが原因で、大量のリクエストによりサービスが停止する可能性がある。CVSS評価は7.5(High)で、バージョン9.0.104、10.1.40、11.0.6への早急なアップデートが推奨される。

【CVE-2025-31650】Apache Tomcatに深刻なDoS脆弱性、メモリリーク問...

Apache Software Foundationが2025年4月28日、Apache Tomcatの複数バージョンに影響するDoS脆弱性を公表した。不正なHTTPプライオリティヘッダーの処理によるメモリリークが原因で、大量のリクエストによりサービスが停止する可能性がある。CVSS評価は7.5(High)で、バージョン9.0.104、10.1.40、11.0.6への早急なアップデートが推奨される。

【CVE-2025-31651】Apache Tomcatに深刻な脆弱性、Rewrite Valve機能のバイパスによるセキュリティリスクが発生

【CVE-2025-31651】Apache Tomcatに深刻な脆弱性、Rewrite Va...

Apache Software Foundationは2025年4月28日、Apache Tomcatの複数バージョンにおいてRewrite Valve機能のバイパス脆弱性を公開した。CVE-2025-31651として識別されるこの問題は、特定のリライトルール設定で巧妙に細工されたリクエストによってセキュリティ制約を回避できる可能性があり、CVSSスコア9.8と深刻度が非常に高い評価となっている。

【CVE-2025-31651】Apache Tomcatに深刻な脆弱性、Rewrite Va...

Apache Software Foundationは2025年4月28日、Apache Tomcatの複数バージョンにおいてRewrite Valve機能のバイパス脆弱性を公開した。CVE-2025-31651として識別されるこの問題は、特定のリライトルール設定で巧妙に細工されたリクエストによってセキュリティ制約を回避できる可能性があり、CVSSスコア9.8と深刻度が非常に高い評価となっている。

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセスと可用性に影響

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセス...

Oracle社が2025年4月15日、Java SEやGraalVM製品群の2D機能における重要な脆弱性を公開した。この脆弱性はCVE-2025-30698として識別され、未認証の攻撃者がネットワーク経由で製品を危殆化させ、データの不正アクセスやサービスの部分的な停止を引き起こす可能性がある。CVSS 3.1で基本スコア5.6と評価され、特にJavaサンドボックスセキュリティに依存する環境での影響が懸念される。

【CVE-2025-30698】Oracle Java SEの2D機能に脆弱性、データアクセス...

Oracle社が2025年4月15日、Java SEやGraalVM製品群の2D機能における重要な脆弱性を公開した。この脆弱性はCVE-2025-30698として識別され、未認証の攻撃者がネットワーク経由で製品を危殆化させ、データの不正アクセスやサービスの部分的な停止を引き起こす可能性がある。CVSS 3.1で基本スコア5.6と評価され、特にJavaサンドボックスセキュリティに依存する環境での影響が懸念される。

【CVE-2025-21587】Oracle Java SE製品群でJSSE脆弱性を発見、重要データへの不正アクセスのリスクが浮上

【CVE-2025-21587】Oracle Java SE製品群でJSSE脆弱性を発見、重要...

Oracleは2025年4月15日、Java SE、GraalVM for JDK、GraalVM Enterprise Editionの複数バージョンにおいて、JSSEコンポーネントに深刻な脆弱性が発見されたことを公表した。認証不要なネットワーク経由の攻撃が可能で、CVSS基本値7.4を記録。Java Web StartアプリケーションやJavaアプレット環境で特に注意が必要とされている。

【CVE-2025-21587】Oracle Java SE製品群でJSSE脆弱性を発見、重要...

Oracleは2025年4月15日、Java SE、GraalVM for JDK、GraalVM Enterprise Editionの複数バージョンにおいて、JSSEコンポーネントに深刻な脆弱性が発見されたことを公表した。認証不要なネットワーク経由の攻撃が可能で、CVSS基本値7.4を記録。Java Web StartアプリケーションやJavaアプレット環境で特に注意が必要とされている。

【CVE-2025-3489】Simple-User-Management-System 1.0にXSS脆弱性、開発元の対応待ちが継続

【CVE-2025-3489】Simple-User-Management-System 1....

Nababur Simple-User-Management-System 1.0のregister.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3でMEDIUMと評価されており、リモートからの攻撃が可能な状態だ。開発元への連絡は行われているものの、現時点で対応は得られていない。name/usernameパラメータを操作することで攻撃が可能となる。

【CVE-2025-3489】Simple-User-Management-System 1....

Nababur Simple-User-Management-System 1.0のregister.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3でMEDIUMと評価されており、リモートからの攻撃が可能な状態だ。開発元への連絡は行われているものの、現時点で対応は得られていない。name/usernameパラメータを操作することで攻撃が可能となる。

【CVE-2025-3830】KuangSimpleBBS 1.0でファイルアップロードの脆弱性が発見、リモート攻撃のリスクに警戒が必要

【CVE-2025-3830】KuangSimpleBBS 1.0でファイルアップロードの脆弱...

kuangstudy社のKuangSimpleBBS 1.0において、QuestionController.javaのfileUpload機能に重大な脆弱性が発見された。editormd-image-fileパラメータを操作することで制限のないファイルアップロードが可能となり、リモートからの攻撃に対して脆弱な状態にある。CVSSスコアは最大6.3を記録し、既に攻撃手法が公開されているため、早急な対策が求められている。

【CVE-2025-3830】KuangSimpleBBS 1.0でファイルアップロードの脆弱...

kuangstudy社のKuangSimpleBBS 1.0において、QuestionController.javaのfileUpload機能に重大な脆弱性が発見された。editormd-image-fileパラメータを操作することで制限のないファイルアップロードが可能となり、リモートからの攻撃に対して脆弱な状態にある。CVSSスコアは最大6.3を記録し、既に攻撃手法が公開されているため、早急な対策が求められている。

【CVE-2025-3825】Web-based Pharmacy Product Management System 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティ強化が急

【CVE-2025-3825】Web-based Pharmacy Product Manag...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0のadd-category.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で4.8のMEDIUMレベルと評価され、リモートからの攻撃が可能。高い特権レベルは必要だが攻撃条件の複雑さは低く、医療システムのセキュリティ対策強化が求められている。

【CVE-2025-3825】Web-based Pharmacy Product Manag...

SourceCodester社のWeb-based Pharmacy Product Management System 1.0のadd-category.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で4.8のMEDIUMレベルと評価され、リモートからの攻撃が可能。高い特権レベルは必要だが攻撃条件の複雑さは低く、医療システムのセキュリティ対策強化が求められている。

【CVE-2025-3458】WordPress用プラグインOcean Extra 2.4.6にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-3458】WordPress用プラグインOcean Extra 2.4.6...

WordPressプラグインOcean Extra 2.4.6以前にストアドクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限とClassic Editorプラグインがあれば、ocean_gallery_idパラメータを介して任意のスクリプトを実行可能。CVSSスコアは6.4で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要とされている。影響範囲に変更があるため、早急な対応が推奨される。

【CVE-2025-3458】WordPress用プラグインOcean Extra 2.4.6...

WordPressプラグインOcean Extra 2.4.6以前にストアドクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限とClassic Editorプラグインがあれば、ocean_gallery_idパラメータを介して任意のスクリプトを実行可能。CVSSスコアは6.4で、攻撃の複雑さは低く、特権は必要だがユーザーの操作は不要とされている。影響範囲に変更があるため、早急な対応が推奨される。

【CVE-2025-30729】Oracle Communications Order and Service Managementに重大な脆弱性、データ改ざんやDoS攻撃のリスクが浮上

【CVE-2025-30729】Oracle Communications Order and...

Oracle社が2025年4月15日、Oracle Communications Order and Service Managementの脆弱性を公開した。バージョン7.4.0、7.4.1、7.5.0が影響を受け、低権限の攻撃者によるデータの不正操作や部分的なサービス拒否攻撃が可能となる。CVSSスコアは5.5で、攻撃成功には正規ユーザーの操作が必要とされる。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-30729】Oracle Communications Order and...

Oracle社が2025年4月15日、Oracle Communications Order and Service Managementの脆弱性を公開した。バージョン7.4.0、7.4.1、7.5.0が影響を受け、低権限の攻撃者によるデータの不正操作や部分的なサービス拒否攻撃が可能となる。CVSSスコアは5.5で、攻撃成功には正規ユーザーの操作が必要とされる。早急なセキュリティ対策が求められる事態となっている。

【CVE-2025-4025】itsourcecode Placement Management System 1.0にSQL injection脆弱性が発見、早急な対策が必要に

【CVE-2025-4025】itsourcecode Placement Managemen...

itsourcecode Placement Management System 1.0のregistration.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性はName引数の操作によって引き起こされ、リモートからの攻撃が可能であることが判明。CVSS 3.1での評価では深刻度「HIGH」とされ、スコア7.3を記録。機密性・完全性・可用性への影響が懸念される事態となっている。

【CVE-2025-4025】itsourcecode Placement Managemen...

itsourcecode Placement Management System 1.0のregistration.phpファイルにSQL injectionの脆弱性が発見された。この脆弱性はName引数の操作によって引き起こされ、リモートからの攻撃が可能であることが判明。CVSS 3.1での評価では深刻度「HIGH」とされ、スコア7.3を記録。機密性・完全性・可用性への影響が懸念される事態となっている。

【CVE-2025-3968】codeprojects News Publishing Site Dashboardに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-3968】codeprojects News Publishing Sit...

codeprojects News Publishing Site Dashboard 1.0のapi.phpファイルにおいて、cat_idパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要となっている。VulDBユーザーのzzzxbyにより報告され、GitHubでも詳細な分析結果が共有されている。

【CVE-2025-3968】codeprojects News Publishing Sit...

codeprojects News Publishing Site Dashboard 1.0のapi.phpファイルにおいて、cat_idパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3でMedium評価とされ、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要となっている。VulDBユーザーのzzzxbyにより報告され、GitHubでも詳細な分析結果が共有されている。

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見、即急なアップデートが必要に

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見...

WordPressプラグインVikRestaurants Table Reservations and Take-Awayにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSに繋がる重大な脆弱性が発見された。CVSSスコア7.1のHigh評価となっており、バージョン1.3.3以前のすべてのバージョンが影響を受ける。対策としてバージョン1.4へのアップデートが推奨されている。

【CVE-2025-46251】VikRestaurants 1.3.3にCSRF脆弱性が発見...

WordPressプラグインVikRestaurants Table Reservations and Take-Awayにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSに繋がる重大な脆弱性が発見された。CVSSスコア7.1のHigh評価となっており、バージョン1.3.3以前のすべてのバージョンが影響を受ける。対策としてバージョン1.4へのアップデートが推奨されている。

【CVE-2025-30730】Oracle Application Object Libraryに深刻な脆弱性、認証不要のDoS攻撃が可能に

【CVE-2025-30730】Oracle Application Object Libra...

OracleはE-Business SuiteのコンポーネントであるOracle Application Object Library 12.2.5-12.2.14に重大な脆弱性を公開した。未認証の攻撃者がHTTP経由でネットワークアクセスを行うことで、完全なサービス拒否攻撃を実行可能。CVSS 3.1基本スコアは7.5と高い深刻度を示しており、影響を受けるバージョンを使用している組織は速やかな対応が求められている。

【CVE-2025-30730】Oracle Application Object Libra...

OracleはE-Business SuiteのコンポーネントであるOracle Application Object Library 12.2.5-12.2.14に重大な脆弱性を公開した。未認証の攻撃者がHTTP経由でネットワークアクセスを行うことで、完全なサービス拒否攻撃を実行可能。CVSS 3.1基本スコアは7.5と高い深刻度を示しており、影響を受けるバージョンを使用している組織は速やかな対応が求められている。

【CVE-2025-46243】WordPress用プラグインにCSRF脆弱性、Recover Abandoned Cart For WooCommerceのバージョン2.2以前に影響

【CVE-2025-46243】WordPress用プラグインにCSRF脆弱性、Recover...

Patchstack OÜがWordPress用プラグイン「Recover Abandoned Cart For WooCommerce」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを発表した。CVE-2025-46243として識別されるこの脆弱性は、バージョン2.2以前に影響を与え、CVSSスコア4.3で中程度の深刻度と評価されている。バージョン2.3以降では修正済みとなっている。

【CVE-2025-46243】WordPress用プラグインにCSRF脆弱性、Recover...

Patchstack OÜがWordPress用プラグイン「Recover Abandoned Cart For WooCommerce」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを発表した。CVE-2025-46243として識別されるこの脆弱性は、バージョン2.2以前に影響を与え、CVSSスコア4.3で中程度の深刻度と評価されている。バージョン2.3以降では修正済みとなっている。

【CVE-2025-3475】DrupalのWEB-Tモジュールに認証バイパスとDoS脆弱性、バージョン1.1.0未満のユーザーに更新を推奨

【CVE-2025-3475】DrupalのWEB-Tモジュールに認証バイパスとDoS脆弱性、...

Drupal.orgは2025年4月9日、WEB-Tモジュールに認証バイパスとサービス拒否(DoS)の脆弱性が存在することを公表した。CVSSスコア6.5の中程度の深刻度と評価されているこの脆弱性は、バージョン0.0.0から1.1.0未満のすべてのWEB-Tモジュールに影響を与える。不適切な認証処理とリソース割り当ての制限不足により、認証バイパスとコンテンツ改ざん、DoS攻撃のリスクが存在する。

【CVE-2025-3475】DrupalのWEB-Tモジュールに認証バイパスとDoS脆弱性、...

Drupal.orgは2025年4月9日、WEB-Tモジュールに認証バイパスとサービス拒否(DoS)の脆弱性が存在することを公表した。CVSSスコア6.5の中程度の深刻度と評価されているこの脆弱性は、バージョン0.0.0から1.1.0未満のすべてのWEB-Tモジュールに影響を与える。不適切な認証処理とリソース割り当ての制限不足により、認証バイパスとコンテンツ改ざん、DoS攻撃のリスクが存在する。

【CVE-2025-30727】Oracle Scriptingに認証回避の重大な脆弱性、CVSS基本スコア9.8で早急な対応が必要

【CVE-2025-30727】Oracle Scriptingに認証回避の重大な脆弱性、CV...

Oracle E-Business SuiteのOracle Scripting製品(バージョン12.2.3-12.2.14)において、iSurveyモジュールに重大な脆弱性が発見された。未認証の攻撃者がHTTP経由で製品を完全に制御可能で、CVSSスコア9.8の最高レベルの危険度。機密性・完全性・可用性すべてに高い影響があり、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-30727】Oracle Scriptingに認証回避の重大な脆弱性、CV...

Oracle E-Business SuiteのOracle Scripting製品(バージョン12.2.3-12.2.14)において、iSurveyモジュールに重大な脆弱性が発見された。未認証の攻撃者がHTTP経由で製品を完全に制御可能で、CVSSスコア9.8の最高レベルの危険度。機密性・完全性・可用性すべてに高い影響があり、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-46228】WordPress Event post 5.9.11にXSS脆弱性、アップデートで対策必要に

【CVE-2025-46228】WordPress Event post 5.9.11にXSS...

WordPressプラグイン「Event post」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-46228として識別されるこの脆弱性は、バージョン5.9.11以前に影響を与え、CVSSスコア6.5で中程度の深刻度と評価されている。Bastien Ho社は対策としてバージョン5.10.0をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-46228】WordPress Event post 5.9.11にXSS...

WordPressプラグイン「Event post」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-46228として識別されるこの脆弱性は、バージョン5.9.11以前に影響を与え、CVSSスコア6.5で中程度の深刻度と評価されている。Bastien Ho社は対策としてバージョン5.10.0をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-46229】WordPressプラグインTextmetrics3.6.2以前にXSS脆弱性、修正版のアップデートが必要に

【CVE-2025-46229】WordPressプラグインTextmetrics3.6.2以...

Patchstack OÜは2025年4月22日、WordPressプラグインTextmetricsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを発表した。バージョン3.6.2以前に影響を与えるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されている。Israpil社は既にバージョン3.6.3で修正を実施しており、早急なアップデートが推奨される。

【CVE-2025-46229】WordPressプラグインTextmetrics3.6.2以...

Patchstack OÜは2025年4月22日、WordPressプラグインTextmetricsにクロスサイトスクリプティング(XSS)の脆弱性が存在することを発表した。バージョン3.6.2以前に影響を与えるこの脆弱性は、CVSSスコア5.9の中程度の深刻度と評価されている。Israpil社は既にバージョン3.6.3で修正を実施しており、早急なアップデートが推奨される。

【CVE-2025-46232】WordPressプラグインDownload Alt Text AI 1.9.93に認証の脆弱性、アクセス制御の不備で権限バイパスの恐れ

【CVE-2025-46232】WordPressプラグインDownload Alt Text...

WordPress用プラグイン「Download Alt Text AI」のバージョン1.9.93以前に認証に関する脆弱性が発見された。Patchstack OÜが2025年4月22日に公開したこの脆弱性は、不適切なアクセス制御設定に起因しており、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。バージョン1.9.94で修正済みのため、影響を受けるバージョンを使用しているユーザーは最新版への更新が推奨される。

【CVE-2025-46232】WordPressプラグインDownload Alt Text...

WordPress用プラグイン「Download Alt Text AI」のバージョン1.9.93以前に認証に関する脆弱性が発見された。Patchstack OÜが2025年4月22日に公開したこの脆弱性は、不適切なアクセス制御設定に起因しており、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。バージョン1.9.94で修正済みのため、影響を受けるバージョンを使用しているユーザーは最新版への更新が推奨される。

【CVE-2024-13925】Klarna Checkout for WooCommerceに未認証DoS脆弱性、ディスク容量枯渇のリスクが発覚

【CVE-2024-13925】Klarna Checkout for WooCommerce...

WPScanがWordPress用プラグインKlarna Checkout for WooCommerceのバージョン2.13.5未満に存在する重大な脆弱性を公開した。未認証の攻撃者がWooCommerceのAjaxエンドポイントを悪用し、ログファイルを急速に肥大化させることが可能となっている。CVSSスコア7.5のこの脆弱性は、システムの可用性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2024-13925】Klarna Checkout for WooCommerce...

WPScanがWordPress用プラグインKlarna Checkout for WooCommerceのバージョン2.13.5未満に存在する重大な脆弱性を公開した。未認証の攻撃者がWooCommerceのAjaxエンドポイントを悪用し、ログファイルを急速に肥大化させることが可能となっている。CVSSスコア7.5のこの脆弱性は、システムの可用性に重大な影響を及ぼす可能性があり、早急な対策が求められている。

【CVE-2025-46245】WordPress用プラグインCM Ad Changerに深刻な脆弱性、アップデートによる対応が必要に

【CVE-2025-46245】WordPress用プラグインCM Ad Changerに深刻...

CreativeMindsSolutions社のWordPress用プラグインCM Ad Changerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-46245として識別されるこの脆弱性は、バージョン2.0.5以前に影響し、CVSSスコア4.3(MEDIUM)と評価されている。修正版となるバージョン2.0.6が既にリリースされており、影響を受ける可能性のあるユーザーは速やかなアップデートが推奨される。

【CVE-2025-46245】WordPress用プラグインCM Ad Changerに深刻...

CreativeMindsSolutions社のWordPress用プラグインCM Ad Changerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-46245として識別されるこの脆弱性は、バージョン2.0.5以前に影響し、CVSSスコア4.3(MEDIUM)と評価されている。修正版となるバージョン2.0.6が既にリリースされており、影響を受ける可能性のあるユーザーは速やかなアップデートが推奨される。