Tech Insights

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5.5.2に重大な脆弱性、SQLインジェクション攻撃のリスクが発生

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5...

Seeyon Zhiyuan Interconnect FE Collaborative Office Platform 5.5.2において、/sysform/042/check.js%70ファイルのName引数処理に関連する重大な脆弱性が発見された。この脆弱性はSQLインジェクション攻撃を可能とし、CVSSスコアは最大6.3(MEDIUM)と評価されている。既に攻撃手法が公開されており、早急な対応が必要とされているが、ベンダーからの対応は得られていない状況だ。

【CVE-2025-3402】Seeyon Zhiyuan Office Platform 5...

Seeyon Zhiyuan Interconnect FE Collaborative Office Platform 5.5.2において、/sysform/042/check.js%70ファイルのName引数処理に関連する重大な脆弱性が発見された。この脆弱性はSQLインジェクション攻撃を可能とし、CVSSスコアは最大6.3(MEDIUM)と評価されている。既に攻撃手法が公開されており、早急な対応が必要とされているが、ベンダーからの対応は得られていない状況だ。

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制御で深刻な影響の可能性

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setUrlFilterRules機能に重大な脆弱性が発見された。CVE-2025-3674として登録されたこの問題は、不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコア6.9を記録し、すでに攻撃コードが公開されているため、早急な対策が必要とされている。

【CVE-2025-3674】TOTOLINK A3700Rに重大な脆弱性、不適切なアクセス制...

TOTOLINK A3700R 9.1.2u.5822_B20200513において、setUrlFilterRules機能に重大な脆弱性が発見された。CVE-2025-3674として登録されたこの問題は、不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコア6.9を記録し、すでに攻撃コードが公開されているため、早急な対策が必要とされている。

【CVE-2025-3173】Project WorldsのOnline Lawyer Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが発覚

【CVE-2025-3173】Project WorldsのOnline Lawyer Man...

Project WorldsのOnline Lawyer Management System 1.0において、save_booking.phpファイルのlawyer_id引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3173として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価であり、認証なしでリモートから攻撃可能。既に一般公開されており、情報漏洩やシステムへの不正アクセスのリスクが指摘されている。

【CVE-2025-3173】Project WorldsのOnline Lawyer Man...

Project WorldsのOnline Lawyer Management System 1.0において、save_booking.phpファイルのlawyer_id引数にSQLインジェクションの脆弱性が発見された。CVE-2025-3173として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価であり、認証なしでリモートから攻撃可能。既に一般公開されており、情報漏洩やシステムへの不正アクセスのリスクが指摘されている。

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモートからの攻撃が可能に

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモート...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内のm_url_real引数に関する重大な認証の脆弱性が発見された。CVE-2025-3268として登録されたこの脆弱性は、リモートから攻撃可能でCVSSスコアは最大6.9を記録。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3268】TinyWebServer 1.0に重大な認証の脆弱性、リモート...

qinguoyi社のTinyWebServer 1.0において、http_conn.cppファイル内のm_url_real引数に関する重大な認証の脆弱性が発見された。CVE-2025-3268として登録されたこの脆弱性は、リモートから攻撃可能でCVSSスコアは最大6.9を記録。既に攻撃コードが公開されており、早急な対応が必要とされている。

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性、ベンダーの対応が不在のまま詳細が公開

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性...

VulDBが2025年4月16日、Novel-Plus 3.5.0の検索機能に重大な脆弱性を発見したことを公開した。/api/front/searchのbooksエンドポイントのsortパラメータを通じてSQLインジェクション攻撃が可能となっており、CVSS 4.0で5.3のスコアを記録。ベンダーへの早期通知も行われたが対応は得られておらず、脆弱性の詳細が一般に公開された状態となっている。

【CVE-2025-3676】Novel-Plus 3.5.0にSQLインジェクションの脆弱性...

VulDBが2025年4月16日、Novel-Plus 3.5.0の検索機能に重大な脆弱性を発見したことを公開した。/api/front/searchのbooksエンドポイントのsortパラメータを通じてSQLインジェクション攻撃が可能となっており、CVSS 4.0で5.3のスコアを記録。ベンダーへの早期通知も行われたが対応は得られておらず、脆弱性の詳細が一般に公開された状態となっている。

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆弱性が発見、ユーザー操作による不正スクリプト実行の危険性

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンで反射型クロスサイトスクリプティング脆弱性が発見された。form_idパラメータを介した不正スクリプト実行が可能で、認証不要で攻撃可能。CVSS v3.1で深刻度6.1(中程度)と評価され、ユーザー操作による悪用の可能性があるため、早急な対応が推奨される。

【CVE-2025-3421】Everest Forms 3.1.1以前のバージョンでXSS脆...

WordPressプラグインのEverest Forms 3.1.1以前のバージョンで反射型クロスサイトスクリプティング脆弱性が発見された。form_idパラメータを介した不正スクリプト実行が可能で、認証不要で攻撃可能。CVSS v3.1で深刻度6.1(中程度)と評価され、ユーザー操作による悪用の可能性があるため、早急な対応が推奨される。

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web保護バイパスの脆弱性、任意のコード実行のリスクが浮上

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web...

MITREは2025年4月15日、圧縮・解凍ソフトウェアPeaZipにMark-of-the-Web保護をバイパスできる脆弱性を発見したことを公開した。この脆弱性はCVE-2025-33026として識別され、バージョン10.4.0以前に影響する。CVSSスコアは6.1(MEDIUM)で、攻撃には特権は不要だがユーザーの操作が必要。攻撃成功時には任意のコード実行が可能となる深刻な問題である。

【CVE-2025-33026】PeaZip 10.4.0以前にMark-of-the-Web...

MITREは2025年4月15日、圧縮・解凍ソフトウェアPeaZipにMark-of-the-Web保護をバイパスできる脆弱性を発見したことを公開した。この脆弱性はCVE-2025-33026として識別され、バージョン10.4.0以前に影響する。CVSSスコアは6.1(MEDIUM)で、攻撃には特権は不要だがユーザーの操作が必要。攻撃成功時には任意のコード実行が可能となる深刻な問題である。

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意のコード実行のリスクに対応

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意...

AIアプリケーションとモデル推論のためのPythonライブラリBentoMLにおいて、Runner Serverの不正なデシリアライゼーション処理に起因する重大な脆弱性が発見された。この脆弱性は【CVE-2025-32375】として識別され、CVSS 3.1で深刻度9.8のクリティカルと評価されている。バージョン1.4.8で修正されたが、それ以前のバージョンではサーバー上で任意のコードが実行可能な状態であった。

【CVE-2025-32375】BentoMLのRunner Serverに重大な脆弱性、任意...

AIアプリケーションとモデル推論のためのPythonライブラリBentoMLにおいて、Runner Serverの不正なデシリアライゼーション処理に起因する重大な脆弱性が発見された。この脆弱性は【CVE-2025-32375】として識別され、CVSS 3.1で深刻度9.8のクリティカルと評価されている。バージョン1.4.8で修正されたが、それ以前のバージョンではサーバー上で任意のコードが実行可能な状態であった。

【CVE-2025-32415】libxml2に新たな脆弱性、バッファアンダーリードの問題が発覚し早急な対応が必要に

【CVE-2025-32415】libxml2に新たな脆弱性、バッファアンダーリードの問題が発...

MITREが2025年4月17日、libxml2の複数のバージョンでヒープベースのバッファアンダーリードの脆弱性を発見したことを発表した。影響を受けるのは2.13.8より前のすべてのバージョンと2.14.0から2.14.2より前のバージョンで、xmlschemas.cファイル内のxmlSchemaIDCFillNodeTables関数で発生する。CVSSスコアは2.9と評価され、攻撃には特定の条件が必要となるため実際の被害発生リスクは限定的とされている。

【CVE-2025-32415】libxml2に新たな脆弱性、バッファアンダーリードの問題が発...

MITREが2025年4月17日、libxml2の複数のバージョンでヒープベースのバッファアンダーリードの脆弱性を発見したことを発表した。影響を受けるのは2.13.8より前のすべてのバージョンと2.14.0から2.14.2より前のバージョンで、xmlschemas.cファイル内のxmlSchemaIDCFillNodeTables関数で発生する。CVSSスコアは2.9と評価され、攻撃には特定の条件が必要となるため実際の被害発生リスクは限定的とされている。

【CVE-2025-32414】libxml2のPython APIにメモリアクセスの脆弱性、複数バージョンに影響

【CVE-2025-32414】libxml2のPython APIにメモリアクセスの脆弱性、...

MITREが2025年4月8日にlibxml2のPython APIにおける重要な脆弱性を公開した。この脆弱性は不正なメモリアクセスを引き起こす可能性があり、バージョン2.13.8未満および2.14.x系列の2.14.2未満に影響する。CVSSスコアは5.6(MEDIUM)で、ローカルからの攻撃が可能だが、攻撃の複雑さは高いとされている。

【CVE-2025-32414】libxml2のPython APIにメモリアクセスの脆弱性、...

MITREが2025年4月8日にlibxml2のPython APIにおける重要な脆弱性を公開した。この脆弱性は不正なメモリアクセスを引き起こす可能性があり、バージョン2.13.8未満および2.14.x系列の2.14.2未満に影響する。CVSSスコアは5.6(MEDIUM)で、ローカルからの攻撃が可能だが、攻撃の複雑さは高いとされている。

【CVE-2025-3619】Google Chromeに重大な脆弱性、Windows版のコーデックにヒープバッファオーバーフローの問題

【CVE-2025-3619】Google Chromeに重大な脆弱性、Windows版のコー...

Google Chromeの Windows版において、コーデック機能にヒープバッファオーバーフローの重大な脆弱性が発見された。Chrome 135.0.7049.95より前のバージョンが影響を受け、CVSSスコア8.8の高い深刻度が報告されている。特別に細工されたHTMLページを通じて攻撃が可能で、ユーザーの操作を必要とするものの、攻撃の複雑さは低いと評価されている。

【CVE-2025-3619】Google Chromeに重大な脆弱性、Windows版のコー...

Google Chromeの Windows版において、コーデック機能にヒープバッファオーバーフローの重大な脆弱性が発見された。Chrome 135.0.7049.95より前のバージョンが影響を受け、CVSSスコア8.8の高い深刻度が報告されている。特別に細工されたHTMLページを通じて攻撃が可能で、ユーザーの操作を必要とするものの、攻撃の複雑さは低いと評価されている。

【CVE-2025-27892】Shopware 6.5.8.13未満のバージョンにSQLインジェクション脆弱性、回帰による深刻な問題に

【CVE-2025-27892】Shopware 6.5.8.13未満のバージョンにSQLイン...

MITREがShopware 6.5.8.13未満のバージョンにおいて、/api/search/orderエンドポイントにSQLインジェクション脆弱性が存在することを公開した。CVE-2025-27892として識別されたこの脆弱性は、CVE-2024-22406とCVE-2024-42357の回帰によって発生。CVSSスコアは6.8で、自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2025-27892】Shopware 6.5.8.13未満のバージョンにSQLイン...

MITREがShopware 6.5.8.13未満のバージョンにおいて、/api/search/orderエンドポイントにSQLインジェクション脆弱性が存在することを公開した。CVE-2025-27892として識別されたこの脆弱性は、CVE-2024-22406とCVE-2024-42357の回帰によって発生。CVSSスコアは6.8で、自動化された攻撃が可能とされており、早急な対応が必要とされている。

【CVE-2025-3620】Google ChromeのUSB機能に深刻な脆弱性、ヒープメモリ破損のリスクで即時アップデートを推奨

【CVE-2025-3620】Google ChromeのUSB機能に深刻な脆弱性、ヒープメモ...

GoogleはChrome 135.0.7049.95未満のバージョンにおいて、USB関連の深刻な脆弱性を公開した。Use-after-free型の脆弱性により、リモートの攻撃者が特別に細工されたHTMLページを通じてヒープメモリの破損を引き起こす可能性がある。CVSSスコア8.8と高い危険度を示しており、早急なアップデートが推奨される。

【CVE-2025-3620】Google ChromeのUSB機能に深刻な脆弱性、ヒープメモ...

GoogleはChrome 135.0.7049.95未満のバージョンにおいて、USB関連の深刻な脆弱性を公開した。Use-after-free型の脆弱性により、リモートの攻撃者が特別に細工されたHTMLページを通じてヒープメモリの破損を引き起こす可能性がある。CVSSスコア8.8と高い危険度を示しており、早急なアップデートが推奨される。

【CVE-2025-29462】Tenda Ac15に深刻なバッファオーバーフロー脆弱性、リモート攻撃による不正アクセスのリスクが浮上

【CVE-2025-29462】Tenda Ac15に深刻なバッファオーバーフロー脆弱性、リモ...

MITREが2025年4月3日、Tenda Ac15 V15.13.07.13にバッファオーバーフロー脆弱性が存在することを公開した。CVSS基本値9.8のクリティカルな評価を受けており、HTTPリクエスト処理時にwebCgiGetUploadFile関数がsocketRead関数を呼び出す際にスタック上でバッファオーバーフローが発生する。攻撃者による遠隔からの不正アクセスが可能で、早急な対策が必要とされている。

【CVE-2025-29462】Tenda Ac15に深刻なバッファオーバーフロー脆弱性、リモ...

MITREが2025年4月3日、Tenda Ac15 V15.13.07.13にバッファオーバーフロー脆弱性が存在することを公開した。CVSS基本値9.8のクリティカルな評価を受けており、HTTPリクエスト処理時にwebCgiGetUploadFile関数がsocketRead関数を呼び出す際にスタック上でバッファオーバーフローが発生する。攻撃者による遠隔からの不正アクセスが可能で、早急な対策が必要とされている。

【CVE-2025-29512】NodeBB v4.0.4にXSS脆弱性、IPブラックリスト機能への影響が判明

【CVE-2025-29512】NodeBB v4.0.4にXSS脆弱性、IPブラックリスト機...

MITREがNodeBB v4.0.4およびそれ以前のバージョンにおけるクロスサイトスクリプティング脆弱性を公開。遠隔攻撃者による任意のコード実行とIPブラックリスト機能の無効化が可能。CVSSスコアは6.1で、攻撃の複雑さは低く特権は不要だがユーザー操作が必要。データベースからのコンテンツ削除まで影響が継続する可能性があり、早急な対策が求められている。

【CVE-2025-29512】NodeBB v4.0.4にXSS脆弱性、IPブラックリスト機...

MITREがNodeBB v4.0.4およびそれ以前のバージョンにおけるクロスサイトスクリプティング脆弱性を公開。遠隔攻撃者による任意のコード実行とIPブラックリスト機能の無効化が可能。CVSSスコアは6.1で、攻撃の複雑さは低く特権は不要だがユーザー操作が必要。データベースからのコンテンツ削除まで影響が継続する可能性があり、早急な対策が求められている。

【CVE-2025-29180】FOXCMS 1.25以前のバージョンにSQLインジェクション脆弱性、高い特権で実行可能な深刻な問題に

【CVE-2025-29180】FOXCMS 1.25以前のバージョンにSQLインジェクション...

FOXCMS 1.25以前のバージョンにおいて、installdb.phpファイル内の複数のPOSTパラメータに時間ベースのブラインドSQLインジェクション脆弱性が発見された。CVSSスコア7.2のHIGHレベルと評価され、高い特権レベルで実行可能な深刻な問題となっている。url_prefix、domain、my_websiteの各パラメータが適切なフィルタリングなしでSQLステートメントに直接連結される実装が原因だ。

【CVE-2025-29180】FOXCMS 1.25以前のバージョンにSQLインジェクション...

FOXCMS 1.25以前のバージョンにおいて、installdb.phpファイル内の複数のPOSTパラメータに時間ベースのブラインドSQLインジェクション脆弱性が発見された。CVSSスコア7.2のHIGHレベルと評価され、高い特権レベルで実行可能な深刻な問題となっている。url_prefix、domain、my_websiteの各パラメータが適切なフィルタリングなしでSQLステートメントに直接連結される実装が原因だ。

ベリサーブがIoTセキュリティ規格ETSI EN 303 645の試験機関認定を取得、国際基準に基づくセキュリティ診断が可能に

ベリサーブがIoTセキュリティ規格ETSI EN 303 645の試験機関認定を取得、国際基準...

株式会社ベリサーブが2025年3月4日、欧州の民生用IoT機器向けサイバーセキュリティ規格「ETSI EN 303 645 V2.1.1」の試験機関認定を取得。国際相互承認制度の加盟国で受け入れ可能な試験報告書の発行が可能になり、IoT機器メーカーの欧州輸出における試験負担を軽減。さらに2025年内には欧州無線機器指令の整合規格「EN 18031」に沿った試験も開始予定。

ベリサーブがIoTセキュリティ規格ETSI EN 303 645の試験機関認定を取得、国際基準...

株式会社ベリサーブが2025年3月4日、欧州の民生用IoT機器向けサイバーセキュリティ規格「ETSI EN 303 645 V2.1.1」の試験機関認定を取得。国際相互承認制度の加盟国で受け入れ可能な試験報告書の発行が可能になり、IoT機器メーカーの欧州輸出における試験負担を軽減。さらに2025年内には欧州無線機器指令の整合規格「EN 18031」に沿った試験も開始予定。

NTTテクノクロスがmietenを機能拡充、社外PCのリアルタイムセキュリティ点検が可能に

NTTテクノクロスがmietenを機能拡充、社外PCのリアルタイムセキュリティ点検が可能に

NTTテクノクロスは、PCセキュリティ点検の自動化ツール「mieten」の新バージョンを2025年4月23日から提供開始する。リモートワークなど社外で使用するPCのセキュリティ点検をリアルタイムに実施できる機能が追加され、脆弱性が残った状態での社内ネットワーク接続リスクを低減。ダッシュボードによる見える化と柔軟な設定機能で、効率的なセキュリティ管理を実現する。

NTTテクノクロスがmietenを機能拡充、社外PCのリアルタイムセキュリティ点検が可能に

NTTテクノクロスは、PCセキュリティ点検の自動化ツール「mieten」の新バージョンを2025年4月23日から提供開始する。リモートワークなど社外で使用するPCのセキュリティ点検をリアルタイムに実施できる機能が追加され、脆弱性が残った状態での社内ネットワーク接続リスクを低減。ダッシュボードによる見える化と柔軟な設定機能で、効率的なセキュリティ管理を実現する。

アズジェントがVicarius VRXの販売を開始、パッチ未提供でも自動で脆弱性に対応可能に

アズジェントがVicarius VRXの販売を開始、パッチ未提供でも自動で脆弱性に対応可能に

アズジェントは米国Vicarius社のCTERソリューション「Vicarius VRX」の販売を2025年6月から開始する。本製品は脆弱性をニアリアルタイムに検出し、CVSSスコアや実システムの深刻度などを考慮した相関分析により優先順位付けを行う。特筆すべき点は、パッチ適用、修正スクリプト提供、バーチャルパッチという3段階の自動是正措置により、開発元からパッチが未提供でも脆弱性に対応できることだ。

アズジェントがVicarius VRXの販売を開始、パッチ未提供でも自動で脆弱性に対応可能に

アズジェントは米国Vicarius社のCTERソリューション「Vicarius VRX」の販売を2025年6月から開始する。本製品は脆弱性をニアリアルタイムに検出し、CVSSスコアや実システムの深刻度などを考慮した相関分析により優先順位付けを行う。特筆すべき点は、パッチ適用、修正スクリプト提供、バーチャルパッチという3段階の自動是正措置により、開発元からパッチが未提供でも脆弱性に対応できることだ。

Sky株式会社がSKYSEA Client Viewの無料ハンズオンセミナーを開催、情報セキュリティ10大脅威への実践的な対策を解説

Sky株式会社がSKYSEA Client Viewの無料ハンズオンセミナーを開催、情報セキュ...

Sky株式会社が2025年5月に東京、大阪、名古屋で情報システム管理者向けハンズオンセミナーを開催する。IPAの情報セキュリティ10大脅威に基づく最新の脅威動向解説や、SKYSEA Client Viewによる対策支援について、1人1台の実機を用いた実践的な内容で展開。IT資産管理やログ管理、サイバー攻撃対策など、基本機能とオプション機能の体験が可能だ。

Sky株式会社がSKYSEA Client Viewの無料ハンズオンセミナーを開催、情報セキュ...

Sky株式会社が2025年5月に東京、大阪、名古屋で情報システム管理者向けハンズオンセミナーを開催する。IPAの情報セキュリティ10大脅威に基づく最新の脅威動向解説や、SKYSEA Client Viewによる対策支援について、1人1台の実機を用いた実践的な内容で展開。IT資産管理やログ管理、サイバー攻撃対策など、基本機能とオプション機能の体験が可能だ。

【CVE-2025-1863】横河電機のレコーダー製品に認証機能の設定不備、重要データの不正操作リスクが発生

【CVE-2025-1863】横河電機のレコーダー製品に認証機能の設定不備、重要データの不正操...

横河電機のレコーダー製品において、認証機能のデフォルト設定が無効化されている脆弱性が発見された。GX10/GX20やGMデータ収集システムなど多数の製品が影響を受け、設定や操作に関するすべての機能に誰でもアクセスできる状態となっている。この問題はCVE-2025-1863として識別され、CVSS v3.1で最高レベルの深刻度9.8(CRITICAL)と評価されている。

【CVE-2025-1863】横河電機のレコーダー製品に認証機能の設定不備、重要データの不正操...

横河電機のレコーダー製品において、認証機能のデフォルト設定が無効化されている脆弱性が発見された。GX10/GX20やGMデータ収集システムなど多数の製品が影響を受け、設定や操作に関するすべての機能に誰でもアクセスできる状態となっている。この問題はCVE-2025-1863として識別され、CVSS v3.1で最高レベルの深刻度9.8(CRITICAL)と評価されている。

【CVE-2025-3664】TOTOLINK A3700Rにアクセス制御の脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2025-3664】TOTOLINK A3700Rにアクセス制御の脆弱性、リモート攻...

TOTOLINK A3700R 9.1.2u.5822_B20200513のsetWiFiEasyGuestCfg機能に重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコアは6.9を記録し、攻撃コードも公開されているが、ベンダーからの対応は得られていない。ユーザーには独自の防御対策が求められる状況だ。

【CVE-2025-3664】TOTOLINK A3700Rにアクセス制御の脆弱性、リモート攻...

TOTOLINK A3700R 9.1.2u.5822_B20200513のsetWiFiEasyGuestCfg機能に重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能な状態となっている。CVSSスコアは6.9を記録し、攻撃コードも公開されているが、ベンダーからの対応は得られていない。ユーザーには独自の防御対策が求められる状況だ。

【CVE-2025-30713】Oracle PeopleSoft Enterprise HCM Talent Acquisition Managerにおいて中程度の脆弱性が発見、データ改ざんのリスク

【CVE-2025-30713】Oracle PeopleSoft Enterprise HC...

Oracleは2025年4月15日、PeopleSoft Enterprise HCM Talent Acquisition Managerのバージョン9.2における脆弱性を公開した。CVE-2025-30713として識別されるこの脆弱性は、低権限の攻撃者がHTTPを介してネットワークアクセスを行うことで、データの不正な読み取りや更新、挿入、削除が可能となる。CVSS 3.1基準で5.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2025-30713】Oracle PeopleSoft Enterprise HC...

Oracleは2025年4月15日、PeopleSoft Enterprise HCM Talent Acquisition Managerのバージョン9.2における脆弱性を公開した。CVE-2025-30713として識別されるこの脆弱性は、低権限の攻撃者がHTTPを介してネットワークアクセスを行うことで、データの不正な読み取りや更新、挿入、削除が可能となる。CVSS 3.1基準で5.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2025-30697】Oracle PeopleSoft Enterprise PeopleToolsに重大な脆弱性、データの不正アクセスや改ざんのリスクが浮上

【CVE-2025-30697】Oracle PeopleSoft Enterprise Pe...

Oracleは2025年4月15日、PeopleSoft Enterprise PeopleToolsのPanel Processorコンポーネントに重大な脆弱性を発見したと発表した。バージョン8.60、8.61、8.62が影響を受け、低権限の攻撃者がHTTP経由でネットワークアクセスを行うことで、重要データへの不正アクセスや改ざんが可能になる。CVSSスコアは5.4で、早急な対応が推奨される。

【CVE-2025-30697】Oracle PeopleSoft Enterprise Pe...

Oracleは2025年4月15日、PeopleSoft Enterprise PeopleToolsのPanel Processorコンポーネントに重大な脆弱性を発見したと発表した。バージョン8.60、8.61、8.62が影響を受け、低権限の攻撃者がHTTP経由でネットワークアクセスを行うことで、重要データへの不正アクセスや改ざんが可能になる。CVSSスコアは5.4で、早急な対応が推奨される。

【CVE-2025-31201】AppleがiOS 18.4.1など複数の製品でセキュリティアップデートを公開、標的型攻撃による脆弱性悪用も確認

【CVE-2025-31201】AppleがiOS 18.4.1など複数の製品でセキュリティア...

Appleが2025年4月16日、iOS 18.4.1やiPadOS 18.4.1、macOS Sequoia 15.4.1などで重要なセキュリティアップデートを公開した。Pointer Authentication回避の脆弱性【CVE-2025-31201】に対処するもので、特定ユーザーを標的とした高度な攻撃での悪用も確認。CISAによるCVSSスコアは6.8(Medium)で、機密性と完全性への影響が高いと評価されている。

【CVE-2025-31201】AppleがiOS 18.4.1など複数の製品でセキュリティア...

Appleが2025年4月16日、iOS 18.4.1やiPadOS 18.4.1、macOS Sequoia 15.4.1などで重要なセキュリティアップデートを公開した。Pointer Authentication回避の脆弱性【CVE-2025-31201】に対処するもので、特定ユーザーを標的とした高度な攻撃での悪用も確認。CISAによるCVSSスコアは6.8(Medium)で、機密性と完全性への影響が高いと評価されている。

【CVE-2025-30735】Oracle PeopleSoft製品に深刻な脆弱性、低権限での重要データアクセスが可能に

【CVE-2025-30735】Oracle PeopleSoft製品に深刻な脆弱性、低権限で...

Oracle社がPeopleSoft Enterprise CC Common Application Objects 9.2に存在する重大な脆弱性を公開。HTTPを介した低権限での攻撃により、重要データへの不正アクセスや改変が可能となる。CVSS 3.1スコア8.1の高リスク脆弱性として評価され、早急な対応が必要。CISAの評価では自動化された攻撃は未確認だが、技術的影響は深刻と判断されている。

【CVE-2025-30735】Oracle PeopleSoft製品に深刻な脆弱性、低権限で...

Oracle社がPeopleSoft Enterprise CC Common Application Objects 9.2に存在する重大な脆弱性を公開。HTTPを介した低権限での攻撃により、重要データへの不正アクセスや改変が可能となる。CVSS 3.1スコア8.1の高リスク脆弱性として評価され、早急な対応が必要。CISAの評価では自動化された攻撃は未確認だが、技術的影響は深刻と判断されている。

【CVE-2025-30695】MySQL Serverに深刻な脆弱性、複数バージョンでデータ改ざんやDoS攻撃のリスク

【CVE-2025-30695】MySQL Serverに深刻な脆弱性、複数バージョンでデータ...

Oracleは2025年4月15日、MySQL Server製品のInnoDB機能に存在する重大な脆弱性を公開した。影響を受けるバージョンは8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0までで、特権アカウントによるネットワーク経由での攻撃により、サービス停止やデータ改ざんのリスクがある。CVSS 3.1スコアは5.5で、早急な対策が推奨される。

【CVE-2025-30695】MySQL Serverに深刻な脆弱性、複数バージョンでデータ...

Oracleは2025年4月15日、MySQL Server製品のInnoDB機能に存在する重大な脆弱性を公開した。影響を受けるバージョンは8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0までで、特権アカウントによるネットワーク経由での攻撃により、サービス停止やデータ改ざんのリスクがある。CVSS 3.1スコアは5.5で、早急な対策が推奨される。

【CVE-2025-30706】MySQL Connectors 9.0.0-9.2.0に深刻な脆弱性、システムの乗っ取りのリスクが発生

【CVE-2025-30706】MySQL Connectors 9.0.0-9.2.0に深刻...

Oracleは2025年4月15日、MySQL ConnectorsのConnector/Jコンポーネントにおいて重大な脆弱性を公開した。影響を受けるバージョンは9.0.0から9.2.0で、CVSSスコア7.5の高リスクに分類される。この脆弱性は低権限の攻撃者によってシステムを侵害される可能性があり、MySQL Connectorsの乗っ取りにつながる恐れがある。

【CVE-2025-30706】MySQL Connectors 9.0.0-9.2.0に深刻...

Oracleは2025年4月15日、MySQL ConnectorsのConnector/Jコンポーネントにおいて重大な脆弱性を公開した。影響を受けるバージョンは9.0.0から9.2.0で、CVSSスコア7.5の高リスクに分類される。この脆弱性は低権限の攻撃者によってシステムを侵害される可能性があり、MySQL Connectorsの乗っ取りにつながる恐れがある。

【CVE-2025-30736】Oracle Database ServerのJava VMに深刻な脆弱性、認証不要の攻撃により重要データが危険に

【CVE-2025-30736】Oracle Database ServerのJava VMに...

Oracle社がOracle Database ServerのJava VMコンポーネントに重大な脆弱性を発見。バージョン19.3-19.26、21.3-21.17、23.4-23.7が影響を受け、認証なしでのネットワークアクセスによる攻撃が可能。CVSS 3.1スコア7.4の高リスク脆弱性で、Java VMがアクセス可能な重要データへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2025-30736】Oracle Database ServerのJava VMに...

Oracle社がOracle Database ServerのJava VMコンポーネントに重大な脆弱性を発見。バージョン19.3-19.26、21.3-21.17、23.4-23.7が影響を受け、認証なしでのネットワークアクセスによる攻撃が可能。CVSS 3.1スコア7.4の高リスク脆弱性で、Java VMがアクセス可能な重要データへの不正アクセスや改ざんのリスクが指摘されている。

【CVE-2025-30683】MySQLサーバーに重大な脆弱性、Replicationコンポーネントの可用性に影響

【CVE-2025-30683】MySQLサーバーに重大な脆弱性、Replicationコンポ...

Oracle社は2025年4月15日、MySQL ServerのReplicationコンポーネントに重大な脆弱性を発見したことを公開した。影響を受けるバージョンは8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0まで。高権限の攻撃者によるDoS攻撃のリスクがあり、サーバーの完全な停止につながる可能性がある。CVSSスコアは4.9で中程度と評価されている。

【CVE-2025-30683】MySQLサーバーに重大な脆弱性、Replicationコンポ...

Oracle社は2025年4月15日、MySQL ServerのReplicationコンポーネントに重大な脆弱性を発見したことを公開した。影響を受けるバージョンは8.0.0から8.0.41、8.4.0から8.4.4、9.0.0から9.2.0まで。高権限の攻撃者によるDoS攻撃のリスクがあり、サーバーの完全な停止につながる可能性がある。CVSSスコアは4.9で中程度と評価されている。