Tech Insights

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射型XSS脆弱性、バージョン1.3.3以前のユーザーに影響

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発見、管理者機能に深刻な影響

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での深刻な危険性が指摘される

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdragon製品群に広範な影響

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.0.8で修正完了

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンからのAPIアクセスが可能な状態に

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱性、投稿者権限で不正スクリプト実行が可能に

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取できる深刻な脆弱性が発見、早急な対応が必要に

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にクロスサイトスクリプティングの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れが深刻な事態に

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性、PyTorchモデルの安全性に警鐘

【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性...

Sonatype社が2025年3月10日、picklescanの0.0.23未満のバージョンにおいて、ZIPファイルのフラグビット改変により悪意のあるpickleファイルの検出を回避できる脆弱性を公開した。CVSSスコア5.3のこの脆弱性により、PyTorchのtorch.load()でモデルが正常に読み込まれる一方で、セキュリティチェックが回避され、任意のコード実行のリスクが生じる可能性がある。

【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性...

Sonatype社が2025年3月10日、picklescanの0.0.23未満のバージョンにおいて、ZIPファイルのフラグビット改変により悪意のあるpickleファイルの検出を回避できる脆弱性を公開した。CVSSスコア5.3のこの脆弱性により、PyTorchのtorch.load()でモデルが正常に読み込まれる一方で、セキュリティチェックが回避され、任意のコード実行のリスクが生じる可能性がある。

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1.03から6.1.03.05まで影響

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、データベース製品GoldenDBにおいて権限管理の脆弱性(CVE-2025-26705)を発見したことを公開した。この脆弱性は権限昇格を可能にする問題で、バージョン6.1.03から6.1.03.05に影響する。CVSS3.1スコアは5.3のミディアムレベルで、ネットワーク経由の攻撃が可能だが、ユーザーインターフェースの操作が必要とされている。

【CVE-2025-26705】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、データベース製品GoldenDBにおいて権限管理の脆弱性(CVE-2025-26705)を発見したことを公開した。この脆弱性は権限昇格を可能にする問題で、バージョン6.1.03から6.1.03.05に影響する。CVSS3.1スコアは5.3のミディアムレベルで、ネットワーク経由の攻撃が可能だが、ユーザーインターフェースの操作が必要とされている。

【CVE-2025-26702】ZTE GoldenDB 6.1.03に不適切な入力検証の脆弱性、特権ユーザーによる攻撃のリスクに注意

【CVE-2025-26702】ZTE GoldenDB 6.1.03に不適切な入力検証の脆弱...

ZTE Corporationは2025年3月11日、データベース製品GoldenDBに不適切な入力検証の脆弱性(CVE-2025-26702)を発見したと発表した。影響を受けるバージョンは6.1.03から6.1.03.04で、CVSSスコアは4.9のミディアムリスク。高い特権レベルが必要となるものの、攻撃条件の複雑さは低く、入力データ操作による影響が懸念される。CISAの評価では自動化された攻撃の可能性は「なし」とされている。

【CVE-2025-26702】ZTE GoldenDB 6.1.03に不適切な入力検証の脆弱...

ZTE Corporationは2025年3月11日、データベース製品GoldenDBに不適切な入力検証の脆弱性(CVE-2025-26702)を発見したと発表した。影響を受けるバージョンは6.1.03から6.1.03.04で、CVSSスコアは4.9のミディアムリスク。高い特権レベルが必要となるものの、攻撃条件の複雑さは低く、入力データ操作による影響が懸念される。CISAの評価では自動化された攻撃の可能性は「なし」とされている。

【CVE-2025-28867】WordPressプラグインFrontpage category filterにCSRF脆弱性、バージョン1.0.2以前に影響

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。

【CVE-2025-28871】WordPress用Block Spam By Math Reloaded 2.2.4にXSS脆弱性、セキュリティアップデートの適用が必要に

【CVE-2025-28871】WordPress用Block Spam By Math Re...

WordPressプラグイン「Block Spam By Math Reloaded」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は永続型XSSに分類され、バージョン2.2.4以前の全バージョンに影響を与える。CVSSスコアは5.9でMedium評価とされており、攻撃には高い特権レベルとユーザーの操作が必要となる。Patchstack Allianceに所属するNabil Irawanによって発見され、迅速な対応が求められている。

【CVE-2025-28871】WordPress用Block Spam By Math Re...

WordPressプラグイン「Block Spam By Math Reloaded」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は永続型XSSに分類され、バージョン2.2.4以前の全バージョンに影響を与える。CVSSスコアは5.9でMedium評価とされており、攻撃には高い特権レベルとユーザーの操作が必要となる。Patchstack Allianceに所属するNabil Irawanによって発見され、迅速な対応が求められている。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderにクロスサイトスクリプティングの脆弱性、CVSS6.5で中程度の深刻度と評価

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な脆弱性、クロスサイトリクエストフォージェリの悪用が可能に

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-28859】WordPress用プラグインMaintenance Notice 1.0.5にCSRF脆弱性、ユーザー操作による不正リクエストの実行が可能に

【CVE-2025-28859】WordPress用プラグインMaintenance Noti...

CodeVibrant社のWordPress用プラグインMaintenance Notice 1.0.5以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28859として識別されるこの脆弱性は、CVSSスコア4.3で「MEDIUM」レベルと評価されている。攻撃には特別な権限は不要だが、ユーザーの操作を必要とし、成功した場合は情報の改ざんが可能となる。

【CVE-2025-28859】WordPress用プラグインMaintenance Noti...

CodeVibrant社のWordPress用プラグインMaintenance Notice 1.0.5以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28859として識別されるこの脆弱性は、CVSSスコア4.3で「MEDIUM」レベルと評価されている。攻撃には特別な権限は不要だが、ユーザーの操作を必要とし、成功した場合は情報の改ざんが可能となる。

【CVE-2025-26703】ZTE GoldenDBに特権管理の脆弱性、バージョン6.1.03から6.1.03.04が影響対象に

【CVE-2025-26703】ZTE GoldenDBに特権管理の脆弱性、バージョン6.1....

ZTE Corporationのデータベース製品GoldenDBにおいて、特権管理の脆弱性(CVE-2025-26703)が発見された。この脆弱性は不適切な特権管理に起因し、攻撃者による特権昇格を引き起こす可能性がある。影響を受けるバージョンは6.1.03から6.1.03.04までで、CVSS v3.1スコアは4.3(ミディアム)と評価されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-26703】ZTE GoldenDBに特権管理の脆弱性、バージョン6.1....

ZTE Corporationのデータベース製品GoldenDBにおいて、特権管理の脆弱性(CVE-2025-26703)が発見された。この脆弱性は不適切な特権管理に起因し、攻撃者による特権昇格を引き起こす可能性がある。影響を受けるバージョンは6.1.03から6.1.03.04までで、CVSS v3.1スコアは4.3(ミディアム)と評価されている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-24993】Windows NTFSに深刻な脆弱性、広範なバージョンで対策が必要に

【CVE-2025-24993】Windows NTFSに深刻な脆弱性、広範なバージョンで対策...

Microsoftは2025年3月11日、Windows NTFSにHeap-based Buffer Overflowの脆弱性(CVE-2025-24993)を確認した。この脆弱性はCVSS v3.1で7.8(High)のスコアが付与され、Windows 10からWindows 11の最新版、Windows Server 2008 SP2からWindows Server 2025まで広範に影響。権限のない攻撃者がローカルでコードを実行できる可能性があり、早急な対策が必要とされている。

【CVE-2025-24993】Windows NTFSに深刻な脆弱性、広範なバージョンで対策...

Microsoftは2025年3月11日、Windows NTFSにHeap-based Buffer Overflowの脆弱性(CVE-2025-24993)を確認した。この脆弱性はCVSS v3.1で7.8(High)のスコアが付与され、Windows 10からWindows 11の最新版、Windows Server 2008 SP2からWindows Server 2025まで広範に影響。権限のない攻撃者がローカルでコードを実行できる可能性があり、早急な対策が必要とされている。

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投稿コンテンツの不正ダウンロードのリスクが発生

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...

WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...

WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェクション脆弱性、データベースからの情報漏洩のリスク

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

【CVE-2025-2480】Sante DICOM Viewer Proに重大な脆弱性、医療画像システムのセキュリティリスクが浮き彫りに

【CVE-2025-2480】Sante DICOM Viewer Proに重大な脆弱性、医療...

ICS-CERTが医療用画像ビューアSante DICOM Viewer Proのout-of-bounds write脆弱性を公表した。CVE-2025-2480として特定されたこの脆弱性は、悪意のあるDCMファイルを開くことで任意コード実行を許す可能性がある。CVSS v4.0で8.4、v3.1で7.8とHigh評価を受けており、バージョン14.1.2以前のすべてのバージョンが影響を受ける。早急なアップデートが推奨されている。

【CVE-2025-2480】Sante DICOM Viewer Proに重大な脆弱性、医療...

ICS-CERTが医療用画像ビューアSante DICOM Viewer Proのout-of-bounds write脆弱性を公表した。CVE-2025-2480として特定されたこの脆弱性は、悪意のあるDCMファイルを開くことで任意コード実行を許す可能性がある。CVSS v4.0で8.4、v3.1で7.8とHigh評価を受けており、バージョン14.1.2以前のすべてのバージョンが影響を受ける。早急なアップデートが推奨されている。

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセキュリティを強化

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセ...

米Googleは2025年3月19日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv134.0.6998.117/.118、Linux環境にv134.0.6998.117を展開。Google Lensの解放後メモリ利用の脆弱性(CVE-2025-2476)を含む2件のセキュリティ問題に対処。特にGoogle Lens脆弱性は深刻度が最高レベルで、早急なアップデートが推奨される。

GoogleがChrome安定版をアップデート、Google Lensの重大な脆弱性に対処しセ...

米Googleは2025年3月19日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv134.0.6998.117/.118、Linux環境にv134.0.6998.117を展開。Google Lensの解放後メモリ利用の脆弱性(CVE-2025-2476)を含む2件のセキュリティ問題に対処。特にGoogle Lens脆弱性は深刻度が最高レベルで、早急なアップデートが推奨される。

CloudflareがAIセキュリティスイート「Cloudflare for AI」を発表、包括的なAIモデル保護機能の提供へ

CloudflareがAIセキュリティスイート「Cloudflare for AI」を発表、包...

Cloudflareは2025年3月21日、AIモデルの保護に特化したセキュリティスイート「Cloudflare for AI」を発表した。従業員によるAIツールの誤用から有害なプロンプト、機密情報の漏洩、新たな脆弱性まで、幅広い脅威からの保護が可能になる。世界190都市以上にGPUを配置し、安全なAIアプリケーションの構築・展開をサポートする。

CloudflareがAIセキュリティスイート「Cloudflare for AI」を発表、包...

Cloudflareは2025年3月21日、AIモデルの保護に特化したセキュリティスイート「Cloudflare for AI」を発表した。従業員によるAIツールの誤用から有害なプロンプト、機密情報の漏洩、新たな脆弱性まで、幅広い脅威からの保護が可能になる。世界190都市以上にGPUを配置し、安全なAIアプリケーションの構築・展開をサポートする。

【CVE-2024-13869】WPvivid 0.9.112以前のバージョンに任意のファイルアップロードの脆弱性、NGINXサーバー環境で深刻な影響の可能性

【CVE-2024-13869】WPvivid 0.9.112以前のバージョンに任意のファイル...

WordPressプラグイン「Migration, Backup, Staging – WPvivid」のバージョン0.9.112以前に、任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つユーザーによって悪用される可能性があり、特にNGINXウェブサーバー環境では遠隔からのコード実行につながる恐れがある。CVSSスコアは7.2(High)と評価されており、早急な対応が推奨される。

【CVE-2024-13869】WPvivid 0.9.112以前のバージョンに任意のファイル...

WordPressプラグイン「Migration, Backup, Staging – WPvivid」のバージョン0.9.112以前に、任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つユーザーによって悪用される可能性があり、特にNGINXウェブサーバー環境では遠隔からのコード実行につながる恐れがある。CVSSスコアは7.2(High)と評価されており、早急な対応が推奨される。

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱性が発覚、PyTorchモデルの不正検知回避の可能性

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...

Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱...

Sonatype社がpicklescanの重要な脆弱性を公開。バージョン0.0.23未満において、ZIPヘッダーの改変によりBadZipFileエラーを引き起こし、PyTorchモデルの不正な読み込みを可能にする脆弱性が発見された。CVSS v4.0で中程度(5.3)と評価され、特権は不要だが利用者の関与が必要。セキュリティツールとフレームワークの実装差異が攻撃ベクトルとなる新たな脅威として注目される。

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報漏洩のリスクに対応急ぐ

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...

MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...

MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証不要で任意のファイル実行が可能に

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...

WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...

WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Trend Vision One for Service Providers」の提供開始へ

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Tr...

トレンドマイクロ株式会社は2025年3月17日、サービスプロバイダ向けセキュリティサービス提供支援プラットフォーム「Trend Vision One for Service Providers」を4月1日から提供開始すると発表した。このプラットフォームは主に中小企業支援のためのリスクコンサルティングや脆弱性診断、マネージドセキュリティサービスを提供するサービスプロバイダ向けで、EPPやEDR/XDR、Cyber Risk Exposure Managementなどの機能をサービスとして顧客に提供可能になる。

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Tr...

トレンドマイクロ株式会社は2025年3月17日、サービスプロバイダ向けセキュリティサービス提供支援プラットフォーム「Trend Vision One for Service Providers」を4月1日から提供開始すると発表した。このプラットフォームは主に中小企業支援のためのリスクコンサルティングや脆弱性診断、マネージドセキュリティサービスを提供するサービスプロバイダ向けで、EPPやEDR/XDR、Cyber Risk Exposure Managementなどの機能をサービスとして顧客に提供可能になる。