Tech Insights

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザーによるプラグイン無効化の危険性が発覚

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2025-23024】GLPIバージョン10.0.18未満に深刻な脆弱性、匿名ユーザ...

資産およびIT管理ソフトウェアパッケージGLPIにおいて、バージョン0.72から10.0.18未満に重大な脆弱性が発見された。この脆弱性により、匿名ユーザーが管理者権限なしで全てのアクティブなプラグインを無効化できる状態となっている。CVSSスコアは6.9(MEDIUM)と評価されており、早急なバージョン10.0.18へのアップデートが推奨されている。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パッケージ管理モジュールの可用性に影響のおそれ

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2024-58048】HarmonyOS 5.0.0にマルチスレッド関連の脆弱性、パ...

Huawei TechnologiesがHarmonyOS 5.0.0のパッケージ管理モジュールにおいて、マルチスレッドに関連する脆弱性を発見した。CVE-2024-58048として特定されたこの脆弱性は、共有リソースの同期処理の不備による競合状態の問題で、CVSS v3.1で深刻度6.7(MEDIUM)と評価されている。攻撃者がローカルから高権限アクセスにより悪用した場合、システムの可用性に影響を与える可能性がある。

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品への影響が判明

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品へ...

VMwareは同社の仮想化基盤ソフトウェアESXiに任意書き込みの脆弱性が存在することを公表した。CVE-2025-22225として識別されるこの脆弱性は、VMXプロセス内の特権を持つ攻撃者がサンドボックスから脱出する可能性がある。影響を受ける製品にはVMware Cloud Foundation、Telco Cloud Platform、Telco Cloud Infrastructureが含まれており、早急な対応が必要とされている。

【CVE-2025-22225】VMware ESXiに重大な任意書き込みの脆弱性、複数製品へ...

VMwareは同社の仮想化基盤ソフトウェアESXiに任意書き込みの脆弱性が存在することを公表した。CVE-2025-22225として識別されるこの脆弱性は、VMXプロセス内の特権を持つ攻撃者がサンドボックスから脱出する可能性がある。影響を受ける製品にはVMware Cloud Foundation、Telco Cloud Platform、Telco Cloud Infrastructureが含まれており、早急な対応が必要とされている。

【CVE-2025-27521】HarmonyOS 5.0.0でアクセス制御の脆弱性が発覚、サービスの機密性への影響に懸念

【CVE-2025-27521】HarmonyOS 5.0.0でアクセス制御の脆弱性が発覚、サ...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のプロセス管理モジュールにおいてアクセス制御の脆弱性を公開した。CVE-2025-27521として識別されるこの脆弱性は、CVSSv3.1で6.8(中程度)と評価され、ローカルからの攻撃が可能で複雑さは低いとされている。特別な権限やユーザー操作を必要としない点から、サービスの機密性への影響が懸念される。

【CVE-2025-27521】HarmonyOS 5.0.0でアクセス制御の脆弱性が発覚、サ...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のプロセス管理モジュールにおいてアクセス制御の脆弱性を公開した。CVE-2025-27521として識別されるこの脆弱性は、CVSSv3.1で6.8(中程度)と評価され、ローカルからの攻撃が可能で複雑さは低いとされている。特別な権限やユーザー操作を必要としない点から、サービスの機密性への影響が懸念される。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠如により可用性低下のリスクが浮上

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-27219】RubyのCGI gemにDoS脆弱性が発見、リソース制限の欠...

RubyのCGI gemにおいて、Cookie処理時のリソース制限が実装されていない重大な脆弱性が発見された。CVE-2025-27219として識別されるこの脆弱性は、バージョン0.4.2未満に影響を与え、攻撃者が巨大なCookieを送信することでサーバーのリソースを枯渇させ、サービスの可用性を低下させる可能性がある。CVSSスコアは5.8(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-13682】Wallet System for WooCommerceに深刻な脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆弱性、ローカル攻撃によるサービス拒否の危険性

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフロー脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者によるサービス拒否攻撃が可能となる。CVSSスコア3.3のLow評価だが、基本的なメモリ管理の不備を示唆しており、影響を受けるユーザーは最新版への更新が推奨される。セキュリティ対策の強化と迅速なパッチ適用が求められる。

【CVE-2025-23234】OpenHarmony v5.0.2にバッファオーバーフロー脆...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフロー脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者によるサービス拒否攻撃が可能となる。CVSSスコア3.3のLow評価だが、基本的なメモリ管理の不備を示唆しており、影響を受けるユーザーは最新版への更新が推奨される。セキュリティ対策の強化と迅速なパッチ適用が求められる。

Tenda TX3にバッファオーバーフロー脆弱性、リモート攻撃の可能性で早急な対応が必要に

Tenda TX3にバッファオーバーフロー脆弱性、リモート攻撃の可能性で早急な対応が必要に

Tenda TX3 16.03.13.11_multiにおいて、SetStaticRouteCfg機能に重大なバッファオーバーフロー脆弱性が発見された。CVSSスコア7.1を記録し、リモートからの攻撃が可能で特権レベルも不要とされている。既に公開済みの脆弱性であり、システムの可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められている。

Tenda TX3にバッファオーバーフロー脆弱性、リモート攻撃の可能性で早急な対応が必要に

Tenda TX3 16.03.13.11_multiにおいて、SetStaticRouteCfg機能に重大なバッファオーバーフロー脆弱性が発見された。CVSSスコア7.1を記録し、リモートからの攻撃が可能で特権レベルも不要とされている。既に公開済みの脆弱性であり、システムの可用性に重大な影響を及ぼす可能性があるため、早急な対応が求められている。

【CVE-2025-22881】Delta Electronics CNCSoft-G2にヒープベースバッファオーバーフローの脆弱性、産業システムのセキュリティに警鐘

【CVE-2025-22881】Delta Electronics CNCSoft-G2にヒー...

Delta Electronics社の産業用ソフトウェアCNCSoft-G2において、深刻なヒープベースバッファオーバーフローの脆弱性が発見された。バージョン2.1.0.10までが影響を受け、CVSSスコア8.4の高リスク脆弱性として分類される。悪意のあるページやファイルを通じて任意のコード実行が可能となる危険性があり、産業システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-22881】Delta Electronics CNCSoft-G2にヒー...

Delta Electronics社の産業用ソフトウェアCNCSoft-G2において、深刻なヒープベースバッファオーバーフローの脆弱性が発見された。バージョン2.1.0.10までが影響を受け、CVSSスコア8.4の高リスク脆弱性として分類される。悪意のあるページやファイルを通じて任意のコード実行が可能となる危険性があり、産業システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆弱性、早急な対応が必要に

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆...

CISAは2025年3月4日、Edimax IC-7100 IPカメラに重大な脆弱性(CVE-2025-1316)を発見したと発表した。この脆弱性は特別に細工されたリクエストによってリモートからのコード実行が可能となるOS命令実行の問題であり、CVSS v4.0で9.3のクリティカルな評価を受けている。すべてのバージョンが影響を受け、特権レベルや特別なユーザー操作を必要とせずに攻撃が可能である点が深刻視されている。

【CVE-2025-1316】Edimax IC-7100 IPカメラにOS命令実行の重大な脆...

CISAは2025年3月4日、Edimax IC-7100 IPカメラに重大な脆弱性(CVE-2025-1316)を発見したと発表した。この脆弱性は特別に細工されたリクエストによってリモートからのコード実行が可能となるOS命令実行の問題であり、CVSS v4.0で9.3のクリティカルな評価を受けている。すべてのバージョンが影響を受け、特権レベルや特別なユーザー操作を必要とせずに攻撃が可能である点が深刻視されている。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

【CVE-2025-26371】Q-Free MaxTime 2.11.0に認可機能の欠落による権限昇格の脆弱性、高いCVSSスコアで早急な対応が必要に

【CVE-2025-26371】Q-Free MaxTime 2.11.0に認可機能の欠落によ...

Nozomi Networks社はQ-Free MaxTime 2.11.0以前のバージョンにおいて、認証済みの低権限ユーザーがグループにユーザーを追加できる深刻な脆弱性を発見した。CVE-2025-26371として識別されたこの脆弱性は、CVSSスコア8.8のHigh評価となっており、機密性、完全性、可用性のすべてにおいて高いレベルの影響があるとされている。特別に細工されたHTTPリクエストにより権限昇格が可能となる問題であり、早急な対応が求められる。

【CVE-2025-26371】Q-Free MaxTime 2.11.0に認可機能の欠落によ...

Nozomi Networks社はQ-Free MaxTime 2.11.0以前のバージョンにおいて、認証済みの低権限ユーザーがグループにユーザーを追加できる深刻な脆弱性を発見した。CVE-2025-26371として識別されたこの脆弱性は、CVSSスコア8.8のHigh評価となっており、機密性、完全性、可用性のすべてにおいて高いレベルの影響があるとされている。特別に細工されたHTTPリクエストにより権限昇格が可能となる問題であり、早急な対応が求められる。

【CVE-2025-26378】Q-Free MaxTime 2.11.0に重大な認可機能の脆弱性、管理者パスワードのリセットが可能に

【CVE-2025-26378】Q-Free MaxTime 2.11.0に重大な認可機能の脆...

Q-Free社のMaxTimeバージョン2.11.0以前において、認可機能の重大な脆弱性が発見された。認証済みの低権限ユーザーが細工されたHTTPリクエストを用いて管理者アカウントを含む任意のアカウントのパスワードをリセットできる問題が存在する。CVSSスコア8.8のハイリスク脆弱性として評価されており、機密性・完全性・可用性のすべてに高いレベルの影響を及ぼす可能性がある。

【CVE-2025-26378】Q-Free MaxTime 2.11.0に重大な認可機能の脆...

Q-Free社のMaxTimeバージョン2.11.0以前において、認可機能の重大な脆弱性が発見された。認証済みの低権限ユーザーが細工されたHTTPリクエストを用いて管理者アカウントを含む任意のアカウントのパスワードをリセットできる問題が存在する。CVSSスコア8.8のハイリスク脆弱性として評価されており、機密性・完全性・可用性のすべてに高いレベルの影響を及ぼす可能性がある。

【CVE-2025-26367】Q-Free MaxTime 2.11.0以前のバージョンに認証の脆弱性、低権限アカウントからユーザーグループ作成が可能に

【CVE-2025-26367】Q-Free MaxTime 2.11.0以前のバージョンに認...

Q-Free社の交通管理システムMaxTimeのバージョン2.11.0以前に、CWE-862 Missing Authorization脆弱性が発見された。この脆弱性により、認証済みの低権限アカウントがmaxprofile/user-groups/routes.luaを介して任意のユーザーグループを作成できる問題が判明。CVSSスコアは4.3でミディアムレベルと評価され、Nozomi Networks社のDiego Giubertoni氏によって発見された。

【CVE-2025-26367】Q-Free MaxTime 2.11.0以前のバージョンに認...

Q-Free社の交通管理システムMaxTimeのバージョン2.11.0以前に、CWE-862 Missing Authorization脆弱性が発見された。この脆弱性により、認証済みの低権限アカウントがmaxprofile/user-groups/routes.luaを介して任意のユーザーグループを作成できる問題が判明。CVSSスコアは4.3でミディアムレベルと評価され、Nozomi Networks社のDiego Giubertoni氏によって発見された。

【CVE-2025-24865】mySCADA myPRO Managerに認証機能の欠陥、重要機能への不正アクセスのリスクが発生

【CVE-2025-24865】mySCADA myPRO Managerに認証機能の欠陥、重...

mySCADA社のmyPRO Manager製品に重大な脆弱性が発見された。CVE-2025-24865として分類されるこの脆弱性は、管理者用Webインターフェースへの認証なしアクセスを可能にする。CVSS v3.1およびv4.0で最高スコア10.0を記録し、機密情報の取得やファイルのアップロードが可能となる深刻な問題である。影響を受けるバージョンは1.4未満のすべてのバージョン。

【CVE-2025-24865】mySCADA myPRO Managerに認証機能の欠陥、重...

mySCADA社のmyPRO Manager製品に重大な脆弱性が発見された。CVE-2025-24865として分類されるこの脆弱性は、管理者用Webインターフェースへの認証なしアクセスを可能にする。CVSS v3.1およびv4.0で最高スコア10.0を記録し、機密情報の取得やファイルのアップロードが可能となる深刻な問題である。影響を受けるバージョンは1.4未満のすべてのバージョン。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機密情報漏洩のリスクが浮上

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

【CVE-2025-22896】mySCADA myPRO Managerに重大な脆弱性、認証情報の平文保存でセキュリティリスクが深刻化

【CVE-2025-22896】mySCADA myPRO Managerに重大な脆弱性、認証...

ICS-CERTはmySCADA社のmyPRO Managerに認証情報が平文で保存される重大な脆弱性を発見した。CVE-2025-22896として識別されるこの脆弱性は、CVSS3.1で8.6(High)、CVSS4.0で9.2(Critical)と評価され、バージョン1.4未満が影響を受ける。攻撃者がネットワークを介して機密情報を取得できる危険性があり、早急な対策が必要とされている。

【CVE-2025-22896】mySCADA myPRO Managerに重大な脆弱性、認証...

ICS-CERTはmySCADA社のmyPRO Managerに認証情報が平文で保存される重大な脆弱性を発見した。CVE-2025-22896として識別されるこの脆弱性は、CVSS3.1で8.6(High)、CVSS4.0で9.2(Critical)と評価され、バージョン1.4未満が影響を受ける。攻撃者がネットワークを介して機密情報を取得できる危険性があり、早急な対策が必要とされている。

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情報漏洩の脆弱性、全バージョンが影響を受け早急な対応が必要に

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情...

CISAは2025年2月13日、Outback Power社のMojaveインバーターに情報漏洩の脆弱性が存在することを公表した。CVE-2025-25281として識別されるこの脆弱性は、URLの改変により対象ネットワークの機密情報が露出する可能性があり、CVSS v3.1で7.5(High)、CVSS v4.0で8.7(High)と評価されている。認証不要でリモートから攻撃可能な状態であり、全バージョンが影響を受けるため早急な対応が必要とされている。

【CVE-2025-25281】Outback Power Mojaveインバーターに深刻な情...

CISAは2025年2月13日、Outback Power社のMojaveインバーターに情報漏洩の脆弱性が存在することを公表した。CVE-2025-25281として識別されるこの脆弱性は、URLの改変により対象ネットワークの機密情報が露出する可能性があり、CVSS v3.1で7.5(High)、CVSS v4.0で8.7(High)と評価されている。認証不要でリモートから攻撃可能な状態であり、全バージョンが影響を受けるため早急な対応が必要とされている。

【CVE-2025-25067】mySCADA myPRO Managerに深刻な脆弱性、産業用制御システムのセキュリティに警鐘

【CVE-2025-25067】mySCADA myPRO Managerに深刻な脆弱性、産業...

CISAが産業用制御システム向けソフトウェアmySCADA myPRO Managerにおいて、深刻なOS Command Injection脆弱性(CVE-2025-25067)を報告した。バージョン1.4未満の全バージョンが影響を受け、リモートからの任意のOSコマンド実行が可能となる。CVSSスコア9.8のクリティカルな脆弱性として評価され、重要インフラのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2025-25067】mySCADA myPRO Managerに深刻な脆弱性、産業...

CISAが産業用制御システム向けソフトウェアmySCADA myPRO Managerにおいて、深刻なOS Command Injection脆弱性(CVE-2025-25067)を報告した。バージョン1.4未満の全バージョンが影響を受け、リモートからの任意のOSコマンド実行が可能となる。CVSSスコア9.8のクリティカルな脆弱性として評価され、重要インフラのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆弱性、コマンドインジェクション攻撃のリスクが判明

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...

CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。

【CVE-2025-24861】Outback Power Mojaveインバーターに重大な脆...

CISAが2025年2月13日、Outback Power社のMojaveインバーターにコマンドインジェクション脆弱性が存在することを公表。CVE-2025-24861として識別されたこの脆弱性は、特別に細工されたPOSTリクエストを介して不正なコマンドを実行できる危険性がある。CVSS v3.1で7.5、v4.0で8.7の重要度評価となっており、すべてのバージョンが影響を受ける。

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Contributor権限で悪用の可能性

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...

WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...

WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2025-1336】CmsEasy 7.7.7.9でPath Traversal脆弱性を発見、早急な対策が必要に

【CVE-2025-1336】CmsEasy 7.7.7.9でPath Traversal脆弱...

CmsEasy 7.7.7.9のimage_admin.phpライブラリに含まれるdeleteimg_action機能においてPath Traversal脆弱性が発見された。この脆弱性は【CVE-2025-1336】として識別され、CVSS 4.0で深刻度「MEDIUM」、スコア5.3を記録している。ベンダーへの通知が行われたものの対応は得られておらず、早急なセキュリティ対策が求められている。

【CVE-2025-1336】CmsEasy 7.7.7.9でPath Traversal脆弱...

CmsEasy 7.7.7.9のimage_admin.phpライブラリに含まれるdeleteimg_action機能においてPath Traversal脆弱性が発見された。この脆弱性は【CVE-2025-1336】として識別され、CVSS 4.0で深刻度「MEDIUM」、スコア5.3を記録している。ベンダーへの通知が行われたものの対応は得られておらず、早急なセキュリティ対策が求められている。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプティングの脆弱性が発見、中程度の深刻度で対応が必要に

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーによる任意のクエリ実行が可能に

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26614】WeGIAにSQLインジェクションの脆弱性、認証済みユーザーに...

GitHubがWeGIAのdelete_documento.phpエンドポイントにおけるSQLインジェクションの脆弱性を公開した。CVSS 4.0で9.4(Critical)を記録する深刻な脆弱性で、認証済みユーザーによる任意のSQLクエリ実行が可能。開発元のLabRedesCefetRJはバージョン3.2.14で修正対応を実施しており、影響を受けるバージョンのユーザーには早急なアップグレードが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2.13で修正完了

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-26606】WeGIAにSQLインジェクションの脆弱性、バージョン3.2....

オープンソースWeb管理システムWeGIAのinformacao_adicional.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSSスコア10.0の重大な脆弱性で、任意のSQLクエリ実行による機密情報への不正アクセスが可能となる。開発元は既にバージョン3.2.13で修正を完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を追加、AIを活用した自動診断で脆弱性対策を効率化

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...

GMO Flatt Security株式会社が脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加。AIによる自動診断により、従来はセキュリティエンジニアによる手動診断が必要だった認可制御不備の検出を効率化。年間150万円(税抜き/Starterプラン)で継続的な診断が可能となり、情報漏洩などの重大インシデントの予防に貢献する。

GMOインターネットグループが全114社でBIMI/VMCを導入、メール認証システムでなりすまし対策を強化

GMOインターネットグループが全114社でBIMI/VMCを導入、メール認証システムでなりすま...

GMOインターネットグループは2025年夏までに全114社でBIMI/VMC導入を決定した。メールアイコンへのロゴ表示により送信元の真正性を視覚的に確認可能となり、フィッシング詐欺対策を強化。GMOブランドセキュリティによる20年以上の商標関連知見とGMOグローバルサインとの連携で、安定的なBIMI運用と豊富なセキュリティオプションを提供する。

GMOインターネットグループが全114社でBIMI/VMCを導入、メール認証システムでなりすま...

GMOインターネットグループは2025年夏までに全114社でBIMI/VMC導入を決定した。メールアイコンへのロゴ表示により送信元の真正性を視覚的に確認可能となり、フィッシング詐欺対策を強化。GMOブランドセキュリティによる20年以上の商標関連知見とGMOグローバルサインとの連携で、安定的なBIMI運用と豊富なセキュリティオプションを提供する。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリスクで即時アップデートを推奨

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26617】WeGIAにSQLインジェクションの脆弱性、医療情報漏洩のリス...

ポルトガル語圏向け医療機関管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性が発見された。historico_paciente.phpエンドポイントに存在するこの脆弱性は、CVSSスコア10.0を記録する深刻な問題で、攻撃者による患者情報への不正アクセスを許す可能性がある。開発元は対策版となるバージョン3.2.14をリリースし、全ユーザーに対して早急なアップグレードを推奨している。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグレードで対策必要

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-26610】WeGIAにSQLインジェクションの脆弱性、最新版へのアップグ...

GitHubは2025年2月18日、ポルトガル語圏向けのオープンソースWeb管理システムWeGIAにおいて、重大なSQLインジェクションの脆弱性を公開した。CVSSスコア9.4のクリティカルな評価を受けたこの脆弱性は、認証済み攻撃者による任意のSQLクエリ実行を許可してしまう。影響を受けるバージョン3.2.13未満のユーザーは、早急な最新版へのアップグレードが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、設定ファイルなど重要情報漏洩の危険性

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。

【CVE-2025-27092】GHOSTSの写真取得エンドポイントにパストラバーサル脆弱性、...

サイバー実験とシミュレーション向けフレームワークGHOSTSにおいて、深刻なパストラバーサル脆弱性が発見された。version 8.0.0.0から8.2.7.90未満のバージョンで、NPCプロファイル写真取得エンドポイントのファイルパス検証が不適切であり、任意のファイルへのアクセスが可能となっている。CVSSスコア8.7の高リスク脆弱性として、早急なアップデートが推奨される。