Tech Insights

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆弱性、エミュレーター環境での再現性が確認される

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆...

MITREが2025年4月16日に公開したTP-Link EAP120ルーターのSQLインジェクション脆弱性【CVE-2025-29648】は、認証なしでログインフィールドを通じた悪意のあるSQL文の実行を可能にする。CVSS v3.1で7.3(High)と評価されたこの脆弱性は、エミュレーター環境でのみ再現可能だが、ネットワークセキュリティの重要性を再認識させる事例となっている。

【CVE-2025-29648】TP-Link EAP120ルーターにSQLインジェクション脆...

MITREが2025年4月16日に公開したTP-Link EAP120ルーターのSQLインジェクション脆弱性【CVE-2025-29648】は、認証なしでログインフィールドを通じた悪意のあるSQL文の実行を可能にする。CVSS v3.1で7.3(High)と評価されたこの脆弱性は、エミュレーター環境でのみ再現可能だが、ネットワークセキュリティの重要性を再認識させる事例となっている。

【CVE-2025-43928】Infodraw Media Relay Service 7.1.0.0にパストラバーサルの脆弱性、管理者認証情報漏洩のリスク

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-43928】Infodraw Media Relay Service 7....

MITREは2025年4月20日、Infodraw Media Relay Service 7.1.0.0のMRSウェブサーバーにおいてパストラバーサル脆弱性を発見した。この脆弱性により、ユーザー名フィールドを介して任意のファイルの読み取りが可能となり、特にServerParameters.xmlファイルから管理者認証情報が漏洩する危険性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩のリスクが発生

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29457】MyBB 1.8.38のテーマインポート機能に脆弱性、情報漏洩...

MyBB 1.8.38のテーマインポート機能において、リモートの攻撃者が機密情報を取得できる脆弱性が発見された。CVE-2025-29457として報告されたこの脆弱性は、CVSSスコア7.6のHIGH評価とされ、Server-Side Request Forgery(SSRF)の危険性が指摘されている。開発元は既存の対策で十分としているが、セキュリティコミュニティからは更なる対策の必要性が示唆されている。

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リモートからのコード実行が可能に

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リ...

D-Link社のネットワーク機器DIR-832x 240802において、macaddrキー値を介して任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性であり、特別な権限や利用者の操作を必要とせずに攻撃が可能。CWE-78(OSコマンドインジェクション)に分類され、SSVCの評価では自動化可能な攻撃手法の存在が確認されている。

【CVE-2025-29042】D-Link DIR-832x 240802に重大な脆弱性、リ...

D-Link社のネットワーク機器DIR-832x 240802において、macaddrキー値を介して任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性であり、特別な権限や利用者の操作を必要とせずに攻撃が可能。CWE-78(OSコマンドインジェクション)に分類され、SSVCの評価では自動化可能な攻撃手法の存在が確認されている。

【CVE-2025-29043】D-Link DIR-832xルーターに重大な脆弱性、リモートからのコード実行が可能に

【CVE-2025-29043】D-Link DIR-832xルーターに重大な脆弱性、リモート...

D-Link DIR-832xルーターのファームウェアバージョン240802において、リモートからの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29043として識別されるこの脆弱性は、CVSSスコア9.8のクリティカルな深刻度と評価されており、特権レベルやユーザー操作を必要とせずに攻撃が可能である。早急な対策が必要とされている。

【CVE-2025-29043】D-Link DIR-832xルーターに重大な脆弱性、リモート...

D-Link DIR-832xルーターのファームウェアバージョン240802において、リモートからの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29043として識別されるこの脆弱性は、CVSSスコア9.8のクリティカルな深刻度と評価されており、特権レベルやユーザー操作を必要とせずに攻撃が可能である。早急な対策が必要とされている。

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認証バイパスの危険性が浮上

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認...

TP-Link M7450 4G LTE Mobile Wi-Fi Routerのファームウェアバージョン1.0.2において、認証を必要としないSQLインジェクションの脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価され、ユーザー名とパスワードフィールドを介した悪意のあるSQLステートメントの注入が可能となっている。CISAの評価では自動化可能な攻撃として分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-29653】TP-Link M7450にSQLインジェクションの脆弱性、認...

TP-Link M7450 4G LTE Mobile Wi-Fi Routerのファームウェアバージョン1.0.2において、認証を必要としないSQLインジェクションの脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として評価され、ユーザー名とパスワードフィールドを介した悪意のあるSQLステートメントの注入が可能となっている。CISAの評価では自動化可能な攻撃として分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-28121】Online Exam Mastering System 1.0にXSS脆弱性、教育システムのセキュリティ対策が急務に

【CVE-2025-28121】Online Exam Mastering System 1....

code-projectsが開発するOnline Exam Mastering System 1.0において、feedback.phpのqパラメータを介した深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1のミディアムリスクと評価され、遠隔からの任意のコード実行が可能となる危険性が指摘されている。教育システムにおけるセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-28121】Online Exam Mastering System 1....

code-projectsが開発するOnline Exam Mastering System 1.0において、feedback.phpのqパラメータを介した深刻なクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1のミディアムリスクと評価され、遠隔からの任意のコード実行が可能となる危険性が指摘されている。教育システムにおけるセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-29287】MCMSのueditorコンポーネントに深刻な脆弱性、任意のコード実行が可能に

【CVE-2025-29287】MCMSのueditorコンポーネントに深刻な脆弱性、任意のコ...

MCMSのv5.4.3において、ueditorコンポーネントに任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVE-2025-29287として識別され、CVSSスコア9.8のCriticalレベルの深刻度が付与されている。攻撃者は細工したファイルをアップロードすることで任意のコード実行が可能となり、早急な対策が必要とされている。

【CVE-2025-29287】MCMSのueditorコンポーネントに深刻な脆弱性、任意のコ...

MCMSのv5.4.3において、ueditorコンポーネントに任意のファイルアップロードの脆弱性が発見された。この脆弱性はCVE-2025-29287として識別され、CVSSスコア9.8のCriticalレベルの深刻度が付与されている。攻撃者は細工したファイルをアップロードすることで任意のコード実行が可能となり、早急な対策が必要とされている。

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃のリスクで緊急対応が必要に

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃の...

D-Link社のルーター製品DIR-832xのファームウェアバージョン240802において、遠隔からの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29039として識別されるこの脆弱性は、CVSSスコア7.2のHIGHレベルに分類され、関数0x41dda8を介した攻撃が可能となる。自動化可能な攻撃手法の存在も確認され、早急な対策が求められている。

【CVE-2025-29039】D-Link DIR-832xにコード実行の脆弱性、遠隔攻撃の...

D-Link社のルーター製品DIR-832xのファームウェアバージョン240802において、遠隔からの任意のコード実行を可能にする重大な脆弱性が発見された。CVE-2025-29039として識別されるこの脆弱性は、CVSSスコア7.2のHIGHレベルに分類され、関数0x41dda8を介した攻撃が可能となる。自動化可能な攻撃手法の存在も確認され、早急な対策が求められている。

【CVE-2025-3164】Tencent Music EntertainmentのSuperSonicに深刻な脆弱性、コード注入攻撃のリスクが発生

【CVE-2025-3164】Tencent Music EntertainmentのSupe...

Tencent Music EntertainmentのSuperSonic 0.9.8以前のバージョンにおいて、H2データベース接続機能に重大な脆弱性が発見された。CVE-2025-3164として登録されたこの脆弱性は、リモートからのコード注入攻撃を可能にし、CVSSスコア5.1(中程度)と評価されている。影響を受けるバージョンは0.9.0から0.9.8まで全てで、既に脆弱性の詳細が公開されているため早急な対応が必要だ。

【CVE-2025-3164】Tencent Music EntertainmentのSupe...

Tencent Music EntertainmentのSuperSonic 0.9.8以前のバージョンにおいて、H2データベース接続機能に重大な脆弱性が発見された。CVE-2025-3164として登録されたこの脆弱性は、リモートからのコード注入攻撃を可能にし、CVSSスコア5.1(中程度)と評価されている。影響を受けるバージョンは0.9.0から0.9.8まで全てで、既に脆弱性の詳細が公開されているため早急な対応が必要だ。

【CVE-2025-3439】WordPress用Everest Forms 3.1.1に深刻な脆弱性、未認証のPHPオブジェクトインジェクションが可能に

【CVE-2025-3439】WordPress用Everest Forms 3.1.1に深刻...

WordfenceはWordPress用プラグイン「Everest Forms」のバージョン3.1.1以前に深刻な脆弱性が存在することを公開した。CVE-2025-3439として識別されるこの脆弱性は、'field_value'パラメータを介した未認証のPHPオブジェクトインジェクションを可能にする。CVSSスコア9.8のCRITICALと評価され、POPチェーンを含む追加プラグインがある場合、重大な被害をもたらす可能性がある。

【CVE-2025-3439】WordPress用Everest Forms 3.1.1に深刻...

WordfenceはWordPress用プラグイン「Everest Forms」のバージョン3.1.1以前に深刻な脆弱性が存在することを公開した。CVE-2025-3439として識別されるこの脆弱性は、'field_value'パラメータを介した未認証のPHPオブジェクトインジェクションを可能にする。CVSSスコア9.8のCRITICALと評価され、POPチェーンを含む追加プラグインがある場合、重大な被害をもたらす可能性がある。

【CVE-2025-3162】InternLM LMDeploy 0.7.1以前にデシリアライゼーションの脆弱性、ローカル環境での攻撃に注意

【CVE-2025-3162】InternLM LMDeploy 0.7.1以前にデシリアライ...

InternLM社のLMDeployにおいて、バージョン0.7.1以前に重大な脆弱性が発見された。この脆弱性は、load_weight_ckpt関数でのデシリアライゼーション処理に起因しており、CVSSスコア4.8のミディアムレベルと評価されている。ローカル環境からの攻撃が可能で、システムの機密性、整合性、可用性に影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2025-3162】InternLM LMDeploy 0.7.1以前にデシリアライ...

InternLM社のLMDeployにおいて、バージョン0.7.1以前に重大な脆弱性が発見された。この脆弱性は、load_weight_ckpt関数でのデシリアライゼーション処理に起因しており、CVSSスコア4.8のミディアムレベルと評価されている。ローカル環境からの攻撃が可能で、システムの機密性、整合性、可用性に影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2025-3030】Firefox 136とThunderbird 136にメモリ安全性の脆弱性、任意のコード実行の可能性

【CVE-2025-3030】Firefox 136とThunderbird 136にメモリ安...

MozillaはFirefox 136、Thunderbird 136、Firefox ESR 128.8、Thunderbird 128.8においてメモリ安全性に関する複数の脆弱性を確認した。一部の脆弱性ではメモリ破損の証拠が確認されており、任意のコード実行の可能性が指摘されている。深刻度「HIGH」、CVSSスコア8.1の評価となっており、Firefox 137およびThunderbird 137で修正が実施された。

【CVE-2025-3030】Firefox 136とThunderbird 136にメモリ安...

MozillaはFirefox 136、Thunderbird 136、Firefox ESR 128.8、Thunderbird 128.8においてメモリ安全性に関する複数の脆弱性を確認した。一部の脆弱性ではメモリ破損の証拠が確認されており、任意のコード実行の可能性が指摘されている。深刻度「HIGH」、CVSSスコア8.1の評価となっており、Firefox 137およびThunderbird 137で修正が実施された。

【CVE-2025-3163】InternLM LMDeploy 0.7.1以前にコード実行の脆弱性、早急な対応が必要に

【CVE-2025-3163】InternLM LMDeploy 0.7.1以前にコード実行の...

InternLM LMDeployのバージョン0.7.1以前において、conf.pyファイルのOpen関数に関連する重大な脆弱性が発見された。CVE-2025-3163として識別されたこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSSスコアは最大5.3(中程度)と評価されている。特権レベルが低い状態での攻撃が可能であり、システムのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2025-3163】InternLM LMDeploy 0.7.1以前にコード実行の...

InternLM LMDeployのバージョン0.7.1以前において、conf.pyファイルのOpen関数に関連する重大な脆弱性が発見された。CVE-2025-3163として識別されたこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSSスコアは最大5.3(中程度)と評価されている。特権レベルが低い状態での攻撃が可能であり、システムのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2025-3174】Project Worlds Online Lawyer Management Systemに深刻な脆弱性、遠隔からの攻撃が可能に

【CVE-2025-3174】Project Worlds Online Lawyer Man...

Project Worlds Online Lawyer Management System 1.0のsearchLawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3174として識別されるこの脆弱性は、CVSSスコア6.9(MEDIUM)と評価され、攻撃者による遠隔からの悪用が可能。experienceパラメータを操作することでSQLインジェクション攻撃が実行可能で、既に攻撃コードが公開されている状態であり、早急な対応が必要とされている。

【CVE-2025-3174】Project Worlds Online Lawyer Man...

Project Worlds Online Lawyer Management System 1.0のsearchLawyer.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-3174として識別されるこの脆弱性は、CVSSスコア6.9(MEDIUM)と評価され、攻撃者による遠隔からの悪用が可能。experienceパラメータを操作することでSQLインジェクション攻撃が実行可能で、既に攻撃コードが公開されている状態であり、早急な対応が必要とされている。

【CVE-2025-3690】PHPGurukul Men Salon Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-3690】PHPGurukul Men Salon Management ...

PHPGurukul Men Salon Management System 1.0のedit-services.phpファイルにおいて、costパラメータに関連するSQLインジェクションの脆弱性が発見された。CVE-2025-3690として識別されるこの脆弱性は、CVSSスコア7.3(HIGH)と評価され、リモートからの攻撃が可能な状態。既に公開されており、システムへの影響は限定的だが、早急な対応が推奨される。

【CVE-2025-3690】PHPGurukul Men Salon Management ...

PHPGurukul Men Salon Management System 1.0のedit-services.phpファイルにおいて、costパラメータに関連するSQLインジェクションの脆弱性が発見された。CVE-2025-3690として識別されるこの脆弱性は、CVSSスコア7.3(HIGH)と評価され、リモートからの攻撃が可能な状態。既に公開されており、システムへの影響は限定的だが、早急な対応が推奨される。

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバーフローの脆弱性が発見、リモート攻撃の可能性あり

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバ...

qinguoyi社のTinyWebServer 1.0において、/http/http_conn.cppファイル内の機能に重大な脆弱性が発見された。この脆弱性はname/password引数の操作によってスタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で評価され、エクスプロイトコードが既に公開されているため、早急な対応が必要とされている。

【CVE-2025-3266】TinyWebServer 1.0でスタックベースバッファオーバ...

qinguoyi社のTinyWebServer 1.0において、/http/http_conn.cppファイル内の機能に重大な脆弱性が発見された。この脆弱性はname/password引数の操作によってスタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。CVSSスコアは最大7.3(HIGH)で評価され、エクスプロイトコードが既に公開されているため、早急な対応が必要とされている。

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスク...

xujiangfei admintwo 1.0において、/resource/addファイル内のName引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3252として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。特権レベルとユーザーの操作は必要だが、既に詳細が公開され悪用可能な状態となっている。

【CVE-2025-3252】xujiangfei admintwo 1.0にクロスサイトスク...

xujiangfei admintwo 1.0において、/resource/addファイル内のName引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-3252として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。特権レベルとユーザーの操作は必要だが、既に詳細が公開され悪用可能な状態となっている。

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティングの脆弱性が発見、リモート攻撃の可能性

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティング...

VulDBは2025年4月18日、basewebのJSite 1.0に深刻な脆弱性が発見されたと発表した。この脆弱性はCVE-2024-3788として識別され、/a/sys/user/saveのName引数を介してクロスサイトスクリプティング攻撃が可能となる。CVSSスコアは5.1を示しており、リモートからの攻撃が可能なため早急な対応が必要とされている。

【CVE-2024-3788】basewebのJSite 1.0でクロスサイトスクリプティング...

VulDBは2025年4月18日、basewebのJSite 1.0に深刻な脆弱性が発見されたと発表した。この脆弱性はCVE-2024-3788として識別され、/a/sys/user/saveのName引数を介してクロスサイトスクリプティング攻撃が可能となる。CVSSスコアは5.1を示しており、リモートからの攻撃が可能なため早急な対応が必要とされている。

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフロー脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7のEPRT Command Handlerコンポーネントにバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大7.5で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている。認証不要で攻撃可能なため、早急な対策が求められる。CVE-2025-3378として登録されており、CWE-120およびCWE-119に分類される重大な脆弱性だ。

【CVE-2025-3378】PCMan FTP Server 2.0.7にバッファオーバーフ...

PCMan FTP Server 2.0.7のEPRT Command Handlerコンポーネントにバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大7.5で、リモートからの攻撃が可能であり、既に攻撃コードも公開されている。認証不要で攻撃可能なため、早急な対策が求められる。CVE-2025-3378として登録されており、CWE-120およびCWE-119に分類される重大な脆弱性だ。

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image Handler機能での攻撃リスクが上昇

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image ...

PbootCMS 3.2.5のImage Handler機能において、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2025-3787として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-3787】PbootCMS 3.2.5にSSRF脆弱性が発見、Image ...

PbootCMS 3.2.5のImage Handler機能において、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。CVE-2025-3787として識別されるこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価されており、リモートからの攻撃が可能だ。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱性、Subscriber権限で悪用の可能性

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンに、認証済みユーザーによる任意のショートコード実行の脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が悪用可能で、CVSS v3.1で中程度の深刻度と評価されている。do_shortcode実行前の値の検証が不十分なことが原因で、早急なアップデートが推奨される。

【CVE-2025-3422】Everest Forms 3.1.1にショートコード実行の脆弱...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンに、認証済みユーザーによる任意のショートコード実行の脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が悪用可能で、CVSS v3.1で中程度の深刻度と評価されている。do_shortcode実行前の値の検証が不十分なことが原因で、早急なアップデートが推奨される。

【CVE-2025-3034】MozillaがFirefox136とThunderbird136のメモリ安全性脆弱性を修正、任意のコード実行のリスクに対処

【CVE-2025-3034】MozillaがFirefox136とThunderbird13...

MozillaはFirefox 136とThunderbird 136においてメモリ安全性に関わる重大な脆弱性を発見し、Firefox 137とThunderbird 137で修正を実施した。CVE-2025-3034として識別されたこの脆弱性は、CVSS v3.1で8.1(HIGH)と評価され、メモリ破損の痕跡から任意のコード実行の可能性が指摘されている。Andrew McCreightとMozilla Fuzzingチームによる迅速な対応により、ユーザーの安全性が確保された。

【CVE-2025-3034】MozillaがFirefox136とThunderbird13...

MozillaはFirefox 136とThunderbird 136においてメモリ安全性に関わる重大な脆弱性を発見し、Firefox 137とThunderbird 137で修正を実施した。CVE-2025-3034として識別されたこの脆弱性は、CVSS v3.1で8.1(HIGH)と評価され、メモリ破損の痕跡から任意のコード実行の可能性が指摘されている。Andrew McCreightとMozilla Fuzzingチームによる迅速な対応により、ユーザーの安全性が確保された。

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、ASLRバイパスのリスクが発生

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、A...

Adobeは2025年4月8日、XMP Toolkitの2023.12以前のバージョンに境界外読み取りの脆弱性が存在することを公表した。CVSSスコア5.5の中度の脆弱性で、悪意のあるファイルを開くことで機密メモリが露出し、ASLRなどの保護機能が回避される可能性がある。攻撃には特権は不要だがユーザーの操作が必要となる。

【CVE-2025-30305】Adobe XMP Toolkitに境界外読み取りの脆弱性、A...

Adobeは2025年4月8日、XMP Toolkitの2023.12以前のバージョンに境界外読み取りの脆弱性が存在することを公表した。CVSSスコア5.5の中度の脆弱性で、悪意のあるファイルを開くことで機密メモリが露出し、ASLRなどの保護機能が回避される可能性がある。攻撃には特権は不要だがユーザーの操作が必要となる。

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL Injection脆弱性、エミュレータ環境での再現性に議論

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL In...

TP-Link TL-WR840N router version 1.0のログインダッシュボードにSQL Injection脆弱性が発見された。CVSSスコア7.3のHigh評価で、未認証の攻撃者がユーザー名とパスワードフィールドを通じて悪意のあるSQL文を実行可能。ただしエミュレータ環境でのみ再現可能であり、実環境での影響については議論の余地がある。

【CVE-2025-29649】TP-Link TL-WR840N routerにSQL In...

TP-Link TL-WR840N router version 1.0のログインダッシュボードにSQL Injection脆弱性が発見された。CVSSスコア7.3のHigh評価で、未認証の攻撃者がユーザー名とパスワードフィールドを通じて悪意のあるSQL文を実行可能。ただしエミュレータ環境でのみ再現可能であり、実環境での影響については議論の余地がある。

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未提供パッチにも対応可能な脆弱性対策を実現

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未...

株式会社アズジェントが米Vicarius Ltd.と販売契契約を締結し、脆弱性対策ソリューション「Vicarius VRX」の販売を2025年6月より開始する。同製品は脆弱性をニアリアルタイムに検出し、パッチ適用、修正スクリプト提供、バーチャルパッチの3段階で対応が可能。開発元からパッチが未提供の場合でも迅速な脆弱性対策を実現できる点が特徴だ。価格はオープンプライスで、250アセットの参考価格は225万円から。

アズジェントが米VicariusのCTERソリューションVicarius VRXを販売開始、未...

株式会社アズジェントが米Vicarius Ltd.と販売契契約を締結し、脆弱性対策ソリューション「Vicarius VRX」の販売を2025年6月より開始する。同製品は脆弱性をニアリアルタイムに検出し、パッチ適用、修正スクリプト提供、バーチャルパッチの3段階で対応が可能。開発元からパッチが未提供の場合でも迅速な脆弱性対策を実現できる点が特徴だ。価格はオープンプライスで、250アセットの参考価格は225万円から。

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップロードの脆弱性が存在

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップ...

TIBCO Software社のSpotfire製品群に重大な脆弱性が発見された。CVSSスコア9.4のクリティカルな脆弱性で、攻撃者による悪意のあるコード実行やファイルアップロードを可能にする。Spotfire Statistics ServicesやAnalyst、Desktop、Python/Rサービスなど、複数の製品のバージョン14系列とバージョン1.17-1.21.1に影響。特権昇格やデータ改ざんの可能性があり、早急な対応が必要。

【CVE-2025-3115】Spotfire製品群に重大な脆弱性、コード実行やファイルアップ...

TIBCO Software社のSpotfire製品群に重大な脆弱性が発見された。CVSSスコア9.4のクリティカルな脆弱性で、攻撃者による悪意のあるコード実行やファイルアップロードを可能にする。Spotfire Statistics ServicesやAnalyst、Desktop、Python/Rサービスなど、複数の製品のバージョン14系列とバージョン1.17-1.21.1に影響。特権昇格やデータ改ざんの可能性があり、早急な対応が必要。

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンにバッファオーバーフロー脆弱性、リモート攻撃の可能性あり

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンに...

Tenda AC15のWifiExtraSetにおけるfromSetWirelessRepeat機能に重大な脆弱性が発見された。この脆弱性はバッファオーバーフローを引き起こす可能性があり、V15.03.05.19以前の全バージョンに影響を与える。CVSSスコアは8.8(High)と評価され、リモートからの攻撃が可能で特権レベルは低いものの、ユーザーインタラクションは不要。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3786】Tenda AC15 V15.03.05.19以前のバージョンに...

Tenda AC15のWifiExtraSetにおけるfromSetWirelessRepeat機能に重大な脆弱性が発見された。この脆弱性はバッファオーバーフローを引き起こす可能性があり、V15.03.05.19以前の全バージョンに影響を与える。CVSSスコアは8.8(High)と評価され、リモートからの攻撃が可能で特権レベルは低いものの、ユーザーインタラクションは不要。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3783】SourceCodester Web-based Pharmacy Management Systemに重大な脆弱性、無制限アップロードによる攻撃のリスクが発生

【CVE-2025-3783】SourceCodester Web-based Pharmac...

SourceCodester Web-based Pharmacy Product Management System 1.0のadd-product.phpファイルに重大な脆弱性が発見された。Avatar引数の操作により無制限アップロードが可能となり、リモートからの攻撃実行のリスクが存在する。CVSSスコア6.3でMediumレベルと評価され、既に一般に公開されているため早急な対応が必要となっている。

【CVE-2025-3783】SourceCodester Web-based Pharmac...

SourceCodester Web-based Pharmacy Product Management System 1.0のadd-product.phpファイルに重大な脆弱性が発見された。Avatar引数の操作により無制限アップロードが可能となり、リモートからの攻撃実行のリスクが存在する。CVSSスコア6.3でMediumレベルと評価され、既に一般に公開されているため早急な対応が必要となっている。

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正アクセスのリスクが深刻に

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setSmartQosCfg機能に重大な脆弱性が発見された。CVSSスコア6.9のこの脆弱性は、リモートからの攻撃が可能で特別な権限も不要とされている。すでに攻撃コードが公開されているにもかかわらず、メーカーからの対応は示されておらず、早急な対策が求められる状況が続いている。

【CVE-2025-3665】TOTOLINK A3700Rに重大な脆弱性、リモートからの不正...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setSmartQosCfg機能に重大な脆弱性が発見された。CVSSスコア6.9のこの脆弱性は、リモートからの攻撃が可能で特別な権限も不要とされている。すでに攻撃コードが公開されているにもかかわらず、メーカーからの対応は示されておらず、早急な対策が求められる状況が続いている。