Tech Insights

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱性、シェルアクセスによる任意のコード実行が可能に

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱...

Juniper NetworksのJunos OSにおいて、カーネルの不適切な分離に関する脆弱性が発見された。この脆弱性により、シェルアクセスを持つローカル攻撃者が任意のコードを実行し、デバイスを侵害する可能性がある。影響を受けるバージョンは21.2R3-S9以前から24.2R1-S2以前まで広範囲に及び、CVSSスコアは中程度と評価されている。発見はAmazonの内部セキュリティ調査によるものだ。

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱...

Juniper NetworksのJunos OSにおいて、カーネルの不適切な分離に関する脆弱性が発見された。この脆弱性により、シェルアクセスを持つローカル攻撃者が任意のコードを実行し、デバイスを侵害する可能性がある。影響を受けるバージョンは21.2R3-S9以前から24.2R1-S2以前まで広範囲に及び、CVSSスコアは中程度と評価されている。発見はAmazonの内部セキュリティ調査によるものだ。

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが2025年4月23日に「KELAグループ アクティブ・サイバーディフェンス・セミナー」を開催する。政府による能動的サイバー防御の法制化を受け、ASMとCTEMの実践方法やサイバー脅威インテリジェンスの必要性について解説。基調講演では増田幸美氏が登壇し、オープンハウスとAGCからは導入事例も紹介される予定だ。

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが2025年4月23日に「KELAグループ アクティブ・サイバーディフェンス・セミナー」を開催する。政府による能動的サイバー防御の法制化を受け、ASMとCTEMの実践方法やサイバー脅威インテリジェンスの必要性について解説。基調講演では増田幸美氏が登壇し、オープンハウスとAGCからは導入事例も紹介される予定だ。

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、組織のセキュリティ体制強化を支援

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、...

LRM株式会社とGMOサイバーセキュリティ byイエラエ株式会社が、IT資産のリスク可視化と継続的なセキュリティ教育に関するウェビナーを2025年3月18日に開催する。セキュリティインシデント増加への対策として、IT資産の自動リスク可視化手法と効果的な教育実践方法を解説。途中参加可能で、企業のセキュリティ担当者向けに実践的な知識を提供する無料ウェビナーとなる。

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、...

LRM株式会社とGMOサイバーセキュリティ byイエラエ株式会社が、IT資産のリスク可視化と継続的なセキュリティ教育に関するウェビナーを2025年3月18日に開催する。セキュリティインシデント増加への対策として、IT資産の自動リスク可視化手法と効果的な教育実践方法を解説。途中参加可能で、企業のセキュリティ担当者向けに実践的な知識を提供する無料ウェビナーとなる。

【CVE-2025-0865】WP Media Category Managementに深刻な脆弱性、管理者権限での設定改ざんが可能に

【CVE-2025-0865】WP Media Category Managementに深刻な...

WordPressプラグイン「WP Media Category Management」のバージョン2.0から2.3.3において、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。非認証の攻撃者が管理者に細工されたリンクをクリックさせることで、プラグインの重要な設定を改ざん可能。CVSSスコア6.5の中程度の深刻度だが、サイト運営への影響が大きい脆弱性として早急な対応が必要となっている。

【CVE-2025-0865】WP Media Category Managementに深刻な...

WordPressプラグイン「WP Media Category Management」のバージョン2.0から2.3.3において、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。非認証の攻撃者が管理者に細工されたリンクをクリックさせることで、プラグインの重要な設定を改ざん可能。CVSSスコア6.5の中程度の深刻度だが、サイト運営への影響が大きい脆弱性として早急な対応が必要となっている。

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、トークン管理に影響の恐れ

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、...

GraphQL FederationフレームワークのGraphQL Meshにおいて、ルートレベルでの変換時に変数のキャッシュに関する脆弱性が発見された。CVE-2025-27097として識別されるこの問題は、同一クエリに対する異なる変数送信時に初期変数が継続使用される状態を引き起こし、特にトークンを変数として送信する場合にセキュリティリスクとなる可能性がある。

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、...

GraphQL FederationフレームワークのGraphQL Meshにおいて、ルートレベルでの変換時に変数のキャッシュに関する脆弱性が発見された。CVE-2025-27097として識別されるこの問題は、同一クエリに対する異なる変数送信時に初期変数が継続使用される状態を引き起こし、特にトークンを変数として送信する場合にセキュリティリスクとなる可能性がある。

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSSRF脆弱性が発見、内部サービスへの不正アクセスが可能に

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...

WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...

WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2に認証バイパスの脆弱性、管理者権限への不正アクセスのリスクが発生

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2...

WordPressプラグインLogin Me Nowのバージョン1.7.2以前に重大な認証バイパスの脆弱性が発見された。AutoLogin::listen()関数の認証処理の不備により、他のソフトウェアのトランジェント名と値を利用することで、未認証の攻撃者が管理者を含む既存ユーザーとして不正にログインできる可能性がある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2...

WordPressプラグインLogin Me Nowのバージョン1.7.2以前に重大な認証バイパスの脆弱性が発見された。AutoLogin::listen()関数の認証処理の不備により、他のソフトウェアのトランジェント名と値を利用することで、未認証の攻撃者が管理者を含む既存ユーザーとして不正にログインできる可能性がある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13734】Card Elements for Elementor 1.2.6にXSS脆弱性、Contributor権限で悪用可能に

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。

【CVE-2025-1282】Car Dealer Automotive WordPress Theme 1.6.3に重大な脆弱性、任意ファイル削除とリモートコード実行の危険性

【CVE-2025-1282】Car Dealer Automotive WordPress ...

WordFenceがCar Dealer Automotive WordPress Themeの重大な脆弱性を発見した。この脆弱性はバージョン1.6.3以前に影響し、認証済みSubscriber以上のユーザーが任意のファイル削除とファイル読み取りを実行可能。特にwp-config.phpの削除によるリモートコード実行の危険性が指摘されており、CVSSスコア8.8と高い深刻度が報告されている。

【CVE-2025-1282】Car Dealer Automotive WordPress ...

WordFenceがCar Dealer Automotive WordPress Themeの重大な脆弱性を発見した。この脆弱性はバージョン1.6.3以前に影響し、認証済みSubscriber以上のユーザーが任意のファイル削除とファイル読み取りを実行可能。特にwp-config.phpの削除によるリモートコード実行の危険性が指摘されており、CVSSスコア8.8と高い深刻度が報告されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョン1.2.3以前のユーザーに影響

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザー名列挙のリスクに対応したバージョン4.5.3をリリース

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザ...

GitHubが2025年3月3日に公開したセキュリティアドバイザリによると、アプリケーション開発フレームワークFlask-AppBuilderにおいて、認証されていないユーザーがログインリクエストのレスポンスタイムを利用して既存のユーザー名を列挙できる脆弱性が発見された。CVSSスコアは3.7(Low)と評価されており、バージョン4.5.3で修正が行われている。

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザ...

GitHubが2025年3月3日に公開したセキュリティアドバイザリによると、アプリケーション開発フレームワークFlask-AppBuilderにおいて、認証されていないユーザーがログインリクエストのレスポンスタイムを利用して既存のユーザー名を列挙できる脆弱性が発見された。CVSSスコアは3.7(Low)と評価されており、バージョン4.5.3で修正が行われている。

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な影響の懸念

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、緊急の対応が必要に

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画像閲覧が可能に

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-2084】PHPGurukul HMPVテストシステムにXSS脆弱性、医療データセキュリティに警鐘

【CVE-2025-2084】PHPGurukul HMPVテストシステムにXSS脆弱性、医療...

PHPGurukulのHuman Metapneumovirus Testing Management System 1.0にクロスサイトスクリプティングの脆弱性が発見された。search-report.phpファイルに影響し、CVSSスコア5.1のMedium評価。リモートからの攻撃が可能で、exploit情報も公開されている状態。医療データを扱うシステムだけに、早急な対応が求められる事態となっている。

【CVE-2025-2084】PHPGurukul HMPVテストシステムにXSS脆弱性、医療...

PHPGurukulのHuman Metapneumovirus Testing Management System 1.0にクロスサイトスクリプティングの脆弱性が発見された。search-report.phpファイルに影響し、CVSSスコア5.1のMedium評価。リモートからの攻撃が可能で、exploit情報も公開されている状態。医療データを扱うシステムだけに、早急な対応が求められる事態となっている。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エンティティ参照に関する問題で情報漏洩のリスク

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2025-27840】ESP32チップに29個の隠しコマンドが発覚、IoTデバイスのセキュリティに影響

【CVE-2025-27840】ESP32チップに29個の隠しコマンドが発覚、IoTデバイスの...

Espressif社のESP32チップに29個の非公開HCIコマンドが存在することが判明し、CVE-2025-27840として報告された。メモリ書き込みを可能にする0xFC02など強力なコマンドの存在が確認され、CVSSスコア6.8(MEDIUM)に分類される。物理アクセスが必要で攻撃の複雑さは高いものの、特権レベルが高くユーザー関与なしで実行可能という特徴を持つ。IoTデバイスのセキュリティに広範な影響を与える可能性がある。

【CVE-2025-27840】ESP32チップに29個の隠しコマンドが発覚、IoTデバイスの...

Espressif社のESP32チップに29個の非公開HCIコマンドが存在することが判明し、CVE-2025-27840として報告された。メモリ書き込みを可能にする0xFC02など強力なコマンドの存在が確認され、CVSSスコア6.8(MEDIUM)に分類される。物理アクセスが必要で攻撃の複雑さは高いものの、特権レベルが高くユーザー関与なしで実行可能という特徴を持つ。IoTデバイスのセキュリティに広範な影響を与える可能性がある。

【CVE-2025-1323】WP-Recallプラグインに深刻なSQLインジェクション脆弱性、バージョン16.26.10以前が影響対象に

【CVE-2025-1323】WP-Recallプラグインに深刻なSQLインジェクション脆弱性...

WordPressプラグイン「WP-Recall」にSQLインジェクションの脆弱性が発見され、CVE-2025-1323として公開された。バージョン16.26.10以前の全バージョンが影響を受け、認証不要で悪用可能な状態となっている。CVSSスコアは7.5(High)と評価され、データベースからの機密情報抽出が可能な深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2025-1323】WP-Recallプラグインに深刻なSQLインジェクション脆弱性...

WordPressプラグイン「WP-Recall」にSQLインジェクションの脆弱性が発見され、CVE-2025-1323として公開された。バージョン16.26.10以前の全バージョンが影響を受け、認証不要で悪用可能な状態となっている。CVSSスコアは7.5(High)と評価され、データベースからの機密情報抽出が可能な深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2025-1481】WordPressプラグインShortcode Cleaner Liteに認証不備の脆弱性、任意のオプションエクスポートが可能に

【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...

WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。

【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...

WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。

【CVE-2024-13890】WordPress用プラグインAllow PHP Executeに深刻な脆弱性、エディター権限でPHPコード実行が可能に

【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...

WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。

【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...

WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。

【CVE-2024-13895】WordPressプラグインCode Snippets CPT 2.1.0に認証済みユーザーの任意のショートコード実行の脆弱性が発見

【CVE-2024-13895】WordPressプラグインCode Snippets CPT...

WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。

【CVE-2024-13895】WordPressプラグインCode Snippets CPT...

WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが判明

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...

WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...

WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性、管理者権限で任意のファイルアップロードが可能に

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...

WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...

WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。

【CVE-2025-2126】JoomlaUX JUX Real Estate 3.4.0にSQLインジェクションの脆弱性、ベンダー未対応で利用者に警戒呼びかけ

【CVE-2025-2126】JoomlaUX JUX Real Estate 3.4.0にS...

JoomlaUX社のJUX Real Estate 3.4.0において、GET Parameterのtitle引数を操作することでSQLインジェクションが可能となる重大な脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3(中程度)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーへの早期連絡にも関わらず対応が行われていないため、ユーザーによる独自の対策が必要とされている。

【CVE-2025-2126】JoomlaUX JUX Real Estate 3.4.0にS...

JoomlaUX社のJUX Real Estate 3.4.0において、GET Parameterのtitle引数を操作することでSQLインジェクションが可能となる重大な脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3(中程度)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーへの早期連絡にも関わらず対応が行われていないため、ユーザーによる独自の対策が必要とされている。

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対応が必要に

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...

米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...

米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化と可視化を実現

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化...

株式会社スリーシェイクは統合セキュリティプラットフォーム「Securify」に生成AIを活用したOSINT機能を追加した。ドメイン・メールアドレス・企業情報を基に、企業内で把握されていないIT資産を自動で探索し可視化する機能を実現。既存のASMや脆弱性診断機能と連携することで、IT資産の可視化から資産管理、リスク検出まで統合的なセキュリティ対策が可能となる。

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化...

株式会社スリーシェイクは統合セキュリティプラットフォーム「Securify」に生成AIを活用したOSINT機能を追加した。ドメイン・メールアドレス・企業情報を基に、企業内で把握されていないIT資産を自動で探索し可視化する機能を実現。既存のASMや脆弱性診断機能と連携することで、IT資産の可視化から資産管理、リスク検出まで統合的なセキュリティ対策が可能となる。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報流出の可能性

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高度な攻撃から保護を強化

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高...

Appleは米国時間3月11日にiOS 18.3.2をリリースし、WebKitのサンドボックス脱出を可能にする重大な脆弱性に対処した。この更新はiOS 17.2で既にブロックされた攻撃への補完的な修正であり、特定の標的に対する極めて高度な攻撃で実際に悪用された可能性が報告されている。4月のiOS 18.4リリースを控えながらも、ユーザー保護を優先した緊急の対応となった。

AppleがiOS 18.3.2で重大なセキュリティ修正を実施、WebKitの脆弱性に対処し高...

Appleは米国時間3月11日にiOS 18.3.2をリリースし、WebKitのサンドボックス脱出を可能にする重大な脆弱性に対処した。この更新はiOS 17.2で既にブロックされた攻撃への補完的な修正であり、特定の標的に対する極めて高度な攻撃で実際に悪用された可能性が報告されている。4月のiOS 18.4リリースを控えながらも、ユーザー保護を優先した緊急の対応となった。

Spider Labsがアドフラウド対策ツールを提供、年間70億円の広告詐欺を検知し広告効果を最大化

Spider Labsがアドフラウド対策ツールを提供、年間70億円の広告詐欺を検知し広告効果を最大化

Spider Labsは2025年3月12日、アドフラウド対策ツール「Spider AF」とフェイクリードプロテクションを提供開始。AIボットや闇バイトによる不正アクセス、MFAサイトでの広告表示などの広告詐欺を検知し、年間約70億円のアドフラウドをブロック。日本航空では導入後にCVRが15%改善、BtoBサービス企業では最大436%のCVR改善を達成している。

Spider Labsがアドフラウド対策ツールを提供、年間70億円の広告詐欺を検知し広告効果を最大化

Spider Labsは2025年3月12日、アドフラウド対策ツール「Spider AF」とフェイクリードプロテクションを提供開始。AIボットや闇バイトによる不正アクセス、MFAサイトでの広告表示などの広告詐欺を検知し、年間約70億円のアドフラウドをブロック。日本航空では導入後にCVRが15%改善、BtoBサービス企業では最大436%のCVR改善を達成している。

シースリーレーヴがBubbleで物流業務改善システムを開発、業務の一元管理と在庫状況の可視化を実現

シースリーレーヴがBubbleで物流業務改善システムを開発、業務の一元管理と在庫状況の可視化を実現

シースリーレーヴ株式会社が、ノーコードツールBubbleを活用して物流業務改善Webシステムを開発。契約管理から仕入れ、在庫管理、運送、倉庫管理までの全工程を一元管理し、リアルタイムでの在庫状況把握を実現。4ヶ月という短期間で4名体制での開発を完了し、今後の機能拡張やカスタマイズにも柔軟に対応可能な体制を整えている。

シースリーレーヴがBubbleで物流業務改善システムを開発、業務の一元管理と在庫状況の可視化を実現

シースリーレーヴ株式会社が、ノーコードツールBubbleを活用して物流業務改善Webシステムを開発。契約管理から仕入れ、在庫管理、運送、倉庫管理までの全工程を一元管理し、リアルタイムでの在庫状況把握を実現。4ヶ月という短期間で4名体制での開発を完了し、今後の機能拡張やカスタマイズにも柔軟に対応可能な体制を整えている。