Tech Insights

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシステム全体へのアクセスが可能に

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...

GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。

【CVE-2025-27098】GraphQL Meshにパストラバーサルの脆弱性、ファイルシ...

GitHubは2025年2月20日、GraphQL Meshの静的ファイルハンドラーに重大な脆弱性を発見したことを公開した。この脆弱性により、サーバーのファイルシステム全体へのアクセスが可能となる。影響を受けるバージョンは@graphql-mesh/cli 0.78.0以上0.82.22未満、@graphql-mesh/http 0.3.19未満であり、早急なアップデートが推奨される。

【CVE-2025-1539】D-Link DAP-1320にスタックベースバッファオーバーフローの重大な脆弱性、サポート終了製品のため対応に課題

【CVE-2025-1539】D-Link DAP-1320にスタックベースバッファオーバーフ...

D-Link DAP-1320バージョン1.00のstoragein.pd-XXXXXXファイルにおけるreplace_special_char関数に、深刻なスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大9.0を記録し、リモートからの攻撃が可能であることが判明。既にパブリックに公開されているものの、サポート終了製品であるため正式な修正プログラムの提供は期待できない状況となっている。

【CVE-2025-1539】D-Link DAP-1320にスタックベースバッファオーバーフ...

D-Link DAP-1320バージョン1.00のstoragein.pd-XXXXXXファイルにおけるreplace_special_char関数に、深刻なスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大9.0を記録し、リモートからの攻撃が可能であることが判明。既にパブリックに公開されているものの、サポート終了製品であるため正式な修正プログラムの提供は期待できない状況となっている。

【CVE-2025-1471】Eclipse OMRに深刻なバッファオーバーフロー脆弱性、バージョン0.5.0で修正完了

【CVE-2025-1471】Eclipse OMRに深刻なバッファオーバーフロー脆弱性、バー...

Eclipse Foundationは2025年2月21日、Eclipse OMRのバージョン0.2.0から0.4.0に影響するバッファオーバーフロー脆弱性を公開した。CVSSスコア7.1のHIGHと評価されるこの脆弱性は、z/OS atoe印刷機能の文字列変換処理に起因する。バージョン0.5.0では変換バッファのサイズ調整とチェック機能の強化により修正が完了している。

【CVE-2025-1471】Eclipse OMRに深刻なバッファオーバーフロー脆弱性、バー...

Eclipse Foundationは2025年2月21日、Eclipse OMRのバージョン0.2.0から0.4.0に影響するバッファオーバーフロー脆弱性を公開した。CVSSスコア7.1のHIGHと評価されるこの脆弱性は、z/OS atoe印刷機能の文字列変換処理に起因する。バージョン0.5.0では変換バッファのサイズ調整とチェック機能の強化により修正が完了している。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1581】PHPGurukul Online Nurse Hiring S...

PHPGurukul Online Nurse Hiring System 1.0のbook-nurse.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)で評価されており、リモートからの攻撃が可能な状態。脆弱性はcontactname引数の操作により発生し、攻撃手法も公開済み。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、早急な対応が必要とされている。

【CVE-2025-1579】code-projects Blood Bank System 1.0にXSS脆弱性、医療データ保護の観点から対応急務に

【CVE-2025-1579】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。

【CVE-2025-1579】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のadmin/user.phpファイルにおいて、emailパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア4.8のMedium評価とされており、高い権限レベルは必要であるものの攻撃条件の複雑さは低く、既に一般に公開されている。医療情報を扱うシステムであることから、早急な対応が求められている。

【CVE-2025-1592】SourceCodester Best Employee Management System 1.0にXSS脆弱性、管理者画面での特権昇格のリスクに警戒

【CVE-2025-1592】SourceCodester Best Employee Man...

VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。

【CVE-2025-1592】SourceCodester Best Employee Man...

VulDBが2025年2月23日、SourceCodester Best Employee Management System 1.0の管理者画面Role.phpにクロスサイトスクリプティング脆弱性を発見したと報告。assign_name/descriptionパラメータの不適切な処理により、リモートからの攻撃が可能。CVSSスコア4.8のMedium評価だが、管理者権限での操作を必要とする特権昇格の可能性があり、早急な対応が求められる。

【CVE-2025-1596】SourceCodester Best Church Management Software 1.0にSQL injection脆弱性、深刻な情報漏洩のリスクが発生

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-1596】SourceCodester Best Church Manag...

VulDBが2025年2月23日、SourceCodester Best Church Management Software 1.0のfpassword.phpファイルに重大なSQL injection脆弱性を発見したことを公表した。この脆弱性はCVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能で特別な権限も必要としない。既に一般公開されており、早急な対策が求められている。ベンダーからの応答が得られていない状況も相まって、深刻な事態となっている。

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオーバーリードによる情報漏洩のリスク

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...

Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。

【CVE-2025-1675】ZephyrプロジェクトのDNS機能に深刻な脆弱性、バッファオー...

Zephyr Projectのdns_pack.cファイル内のdns_copy_qname関数において、信頼できないフィールドに対するmemcpy操作時にソースバッファのサイズチェックが行われていない脆弱性が発見された。CVE-2025-1675として識別されたこの問題は、CVSSスコア8.2の高リスクと評価され、version 4.0までのバージョンに影響を与える。攻撃の自動化は確認されていないものの、情報漏洩やシステムの可用性に深刻な影響を及ぼす可能性がある。

【CVE-2025-27142】LocalSendにパストラバーサルの脆弱性、近接デバイスからの任意コマンド実行が可能に

【CVE-2025-27142】LocalSendにパストラバーサルの脆弱性、近接デバイスから...

LocalSendのファイルアップロードエンドポイントにパストラバーサルの脆弱性が発見された。バージョン1.17.0未満が影響を受け、近接デバイスから任意のディレクトリにファイルを書き込むことが可能となる。特にQuick Save機能が有効な場合、ユーザーの操作なしに悪意のあるファイルが保存される可能性があり、WindowsのStartupフォルダやLinuxのBash関連ファイルを通じて任意のコマンドが実行されるリスクがある。

【CVE-2025-27142】LocalSendにパストラバーサルの脆弱性、近接デバイスから...

LocalSendのファイルアップロードエンドポイントにパストラバーサルの脆弱性が発見された。バージョン1.17.0未満が影響を受け、近接デバイスから任意のディレクトリにファイルを書き込むことが可能となる。特にQuick Save機能が有効な場合、ユーザーの操作なしに悪意のあるファイルが保存される可能性があり、WindowsのStartupフォルダやLinuxのBash関連ファイルを通じて任意のコマンドが実行されるリスクがある。

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10.0.18で修正完了

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10...

資産およびIT管理ソフトウェアGLPIにおいて、OauthIMAPプラグインを使用したメールサーバー認証に重大な脆弱性が発見された。バージョン9.5.0から10.0.18未満が影響を受け、既存のOauth認証情報を不正利用した接続が可能となる問題が確認されている。開発チームは迅速な対応を行い、バージョン10.0.18でパッチを提供。CVSSスコア6.3の中程度の深刻度だが、認証に関わる重要な脆弱性として早急な対応が推奨される。

【CVE-2025-23046】GLPIのOauthIMAP認証に深刻な脆弱性、バージョン10...

資産およびIT管理ソフトウェアGLPIにおいて、OauthIMAPプラグインを使用したメールサーバー認証に重大な脆弱性が発見された。バージョン9.5.0から10.0.18未満が影響を受け、既存のOauth認証情報を不正利用した接続が可能となる問題が確認されている。開発チームは迅速な対応を行い、バージョン10.0.18でパッチを提供。CVSSスコア6.3の中程度の深刻度だが、認証に関わる重要な脆弱性として早急な対応が推奨される。

【CVE-2025-1695】NGINX Unit 1.34.2未満のJava言語モジュールに脆弱性、DoS攻撃のリスクに対応急ぐ

【CVE-2025-1695】NGINX Unit 1.34.2未満のJava言語モジュールに...

F5 NetworksはNGINX Unit 1.34.2未満のバージョンにおいて、Java言語モジュールに関連する重要な脆弱性(CVE-2025-1695)を公開した。特定の要求により無限ループが発生しCPUリソースの使用率が上昇、リモート攻撃者による限定的なDoS攻撃のリスクが存在する。CVSSv3.1で5.3、CVSSv4.0で6.9の中程度の深刻度が評価されている。

【CVE-2025-1695】NGINX Unit 1.34.2未満のJava言語モジュールに...

F5 NetworksはNGINX Unit 1.34.2未満のバージョンにおいて、Java言語モジュールに関連する重要な脆弱性(CVE-2025-1695)を公開した。特定の要求により無限ループが発生しCPUリソースの使用率が上昇、リモート攻撃者による限定的なDoS攻撃のリスクが存在する。CVSSv3.1で5.3、CVSSv4.0で6.9の中程度の深刻度が評価されている。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bounds読み取りの脆弱性が発見、DoS攻撃のリスクに対応急ぐ

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファオーバーリードの脆弱性が発見、サービス拒否攻撃のリスクに注意

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーリードの脆弱性が発見された。CVE-2025-22847として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与える。CVSSスコア3.1で深刻度は低いものの、ローカル攻撃者によるサービス拒否攻撃のリスクが存在する。特権レベルは低く、ユーザーインタラクションは不要とされている。

【CVE-2025-22847】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーリードの脆弱性が発見された。CVE-2025-22847として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与える。CVSSスコア3.1で深刻度は低いものの、ローカル攻撃者によるサービス拒否攻撃のリスクが存在する。特権レベルは低く、ユーザーインタラクションは不要とされている。

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、プリインストールアプリでの任意コード実行の可能性

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、...

OpenHarmonyプロジェクトは2025年3月4日、Communication DsoftbusコンポーネントにUse After Free脆弱性を発見したと発表した。v4.1.0からv5.0.2までのバージョンが影響を受け、プリインストールアプリケーションで任意コード実行の可能性がある。CVSSスコアは3.8でLow評価、攻撃にはローカルでの特権昇格が必要となるため実際の影響は限定的と判断された。

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、...

OpenHarmonyプロジェクトは2025年3月4日、Communication DsoftbusコンポーネントにUse After Free脆弱性を発見したと発表した。v4.1.0からv5.0.2までのバージョンが影響を受け、プリインストールアプリケーションで任意コード実行の可能性がある。CVSSスコアは3.8でLow評価、攻撃にはローカルでの特権昇格が必要となるため実際の影響は限定的と判断された。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱性、v5.0.2まで影響の可能性

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆弱性、サービス拒否攻撃のリスクに警鐘

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeにNULLポインタ参照の脆弱性が存在することを公開した。CVE-2025-22837として識別されたこの脆弱性は、CVSSスコア3.3(LOW)と評価され、ローカル攻撃者によるサービス拒否攻撃のリスクが指摘されている。特にv4.1.0からv5.0.2までの広範なバージョンに影響を及ぼすことが判明している。

【CVE-2025-22837】OpenHarmony v5.0.2にNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeにNULLポインタ参照の脆弱性が存在することを公開した。CVE-2025-22837として識別されたこの脆弱性は、CVSSスコア3.3(LOW)と評価され、ローカル攻撃者によるサービス拒否攻撃のリスクが指摘されている。特にv4.1.0からv5.0.2までの広範なバージョンに影響を及ぼすことが判明している。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring Systemにおける重大な脆弱性、管理者機能に深刻な影響

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-1583】PHPGurukul Online Nurse Hiring S...

医療従事者の採用管理システムPHPGurukul Online Nurse Hiring System 1.0において、管理者用ファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1583として識別されるこの脆弱性は、CVSS 3.1で6.3(MEDIUM)と評価され、リモートからの攻撃が可能であることから、早急な対応が求められている。脆弱性は一般に公開されており、攻撃コードも利用可能な状態となっている。

【CVE-2025-1582】PHPGurukul Online Nurse Hiring Systemに深刻なSQL injection脆弱性、医療従事者の個人情報漏洩のリスクに

【CVE-2025-1582】PHPGurukul Online Nurse Hiring S...

PHPGurukul社のOnline Nurse Hiring System 1.0において、/admin/all-request.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1582として識別されたこの脆弱性は、viewid引数の操作によってリモートから攻撃可能であり、既にエクスプロイトコードが公開されている。CVSSスコアは中程度と評価されているが、医療従事者の個人情報漏洩リスクがあり、早急な対応が求められる。

【CVE-2025-1582】PHPGurukul Online Nurse Hiring S...

PHPGurukul社のOnline Nurse Hiring System 1.0において、/admin/all-request.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1582として識別されたこの脆弱性は、viewid引数の操作によってリモートから攻撃可能であり、既にエクスプロイトコードが公開されている。CVSSスコアは中程度と評価されているが、医療従事者の個人情報漏洩リスクがあり、早急な対応が求められる。

【CVE-2025-1615】FiberHome AN5506-01A ONU GPON RP2511にXSS脆弱性、ベンダー応答なく対応が遅延

【CVE-2025-1615】FiberHome AN5506-01A ONU GPON RP...

VulDBが2025年2月24日にFiberHome AN5506-01A ONU GPON RP2511のNAT Submenuコンポーネントにクロスサイトスクリプティング脆弱性を発見したと報告。Description引数の操作によってリモートから攻撃が可能で、CVSS 4.0では中程度の4.8点と評価された。ベンダーへの早期連絡も応答がなく、対応が遅れている状況だ。

【CVE-2025-1615】FiberHome AN5506-01A ONU GPON RP...

VulDBが2025年2月24日にFiberHome AN5506-01A ONU GPON RP2511のNAT Submenuコンポーネントにクロスサイトスクリプティング脆弱性を発見したと報告。Description引数の操作によってリモートから攻撃が可能で、CVSS 4.0では中程度の4.8点と評価された。ベンダーへの早期連絡も応答がなく、対応が遅れている状況だ。

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25にDoS脆弱性、HTTPパーサーの不具合で正常動作に影響

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25...

Phusion PassengerのHTTPパーサーに深刻な脆弱性が発見された。CVE-2025-26803として報告されたこの問題は、無効なHTTPメソッドを含むリクエストの解析時にサービス拒否状態を引き起こす可能性がある。CVSSスコア5.3(MEDIUM)と評価され、バージョン6.0.21から6.0.25が影響を受ける。Phusion社は対策版となるバージョン6.0.26を公開し、脆弱性に対応している。

【CVE-2025-26803】Phusion Passenger 6.0.21-6.0.25...

Phusion PassengerのHTTPパーサーに深刻な脆弱性が発見された。CVE-2025-26803として報告されたこの問題は、無効なHTTPメソッドを含むリクエストの解析時にサービス拒否状態を引き起こす可能性がある。CVSSスコア5.3(MEDIUM)と評価され、バージョン6.0.21から6.0.25が影響を受ける。Phusion社は対策版となるバージョン6.0.26を公開し、脆弱性に対応している。

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向けWebマネージャーのセキュリティに警鐘

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。

【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...

慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。

【CVE-2025-1606】Best Employee Management Systemに情報漏洩の脆弱性、対応の遅れで懸念拡大

【CVE-2025-1606】Best Employee Management Systemに...

SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。

【CVE-2025-1606】Best Employee Management Systemに...

SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRCコマンドインジェクションの脆弱性、3.0.4で修正完了

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRC...

GitHubは2025年2月25日、Node.js向けIRCブリッジソフトウェアのmatrix-appservice-ircにおいて、バージョン3.0.3以前に深刻な脆弱性が存在することを公表した。この脆弱性により、攻撃者は操作対象のIRCユーザーとして任意のコマンドを実行可能。CVSSスコアは2.7(LOW)と評価されており、matrix-org社は既にバージョン3.0.4でパッチを適用済みだ。

【CVE-2025-27146】matrix-appservice-irc 3.0.3にIRC...

GitHubは2025年2月25日、Node.js向けIRCブリッジソフトウェアのmatrix-appservice-ircにおいて、バージョン3.0.3以前に深刻な脆弱性が存在することを公表した。この脆弱性により、攻撃者は操作対象のIRCユーザーとして任意のコマンドを実行可能。CVSSスコアは2.7(LOW)と評価されており、matrix-org社は既にバージョン3.0.4でパッチを適用済みだ。

【CVE-2025-26597】XorgとXwaylandにバッファオーバーフロー脆弱性、Red Hat Enterprise Linuxの複数バージョンに影響

【CVE-2025-26597】XorgとXwaylandにバッファオーバーフロー脆弱性、Re...

Red Hat社が公開したXorgおよびXwaylandのバッファオーバーフロー脆弱性は、XkbChangeTypesOfKey()関数の実装不具合に起因する。CVSS v3.1で7.8(High)と評価され、Red Hat Enterprise Linux 7および9の全バージョンに影響。攻撃者がローカルアクセス権限を持つ環境で容易に攻撃を実行でき、システムの機密性、整合性、可用性に高度な影響を及ぼす可能性がある。

【CVE-2025-26597】XorgとXwaylandにバッファオーバーフロー脆弱性、Re...

Red Hat社が公開したXorgおよびXwaylandのバッファオーバーフロー脆弱性は、XkbChangeTypesOfKey()関数の実装不具合に起因する。CVSS v3.1で7.8(High)と評価され、Red Hat Enterprise Linux 7および9の全バージョンに影響。攻撃者がローカルアクセス権限を持つ環境で容易に攻撃を実行でき、システムの機密性、整合性、可用性に高度な影響を及ぼす可能性がある。

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界外読み取りのリスクに注意

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界...

ZephyrプロジェクトがCVE-2025-1674として、DNSパケット処理における境界外読み取りの脆弱性を公開した。CVSSスコア8.2の高リスク脆弱性で、Zephyr 4.0までのバージョンが影響を受ける。悪意のあるパケットや不正な形式のパケットにより、情報漏洩やシステムクラッシュのリスクが指摘されている。組み込みシステムのセキュリティ対策として早急な対応が求められる。

【CVE-2025-1674】ZephyrプロジェクトがDNSパケット処理の脆弱性を公開、境界...

ZephyrプロジェクトがCVE-2025-1674として、DNSパケット処理における境界外読み取りの脆弱性を公開した。CVSSスコア8.2の高リスク脆弱性で、Zephyr 4.0までのバージョンが影響を受ける。悪意のあるパケットや不正な形式のパケットにより、情報漏洩やシステムクラッシュのリスクが指摘されている。組み込みシステムのセキュリティ対策として早急な対応が求められる。

【CVE-2025-26594】X.OrgとXwaylandにUse-After-Free脆弱性、ルートカーソルの解放で深刻な影響の可能性

【CVE-2025-26594】X.OrgとXwaylandにUse-After-Free脆弱...

Red Hat社が2025年2月25日に公開したX.OrgとXwaylandの脆弱性情報によると、ルートカーソルに関連するUse-After-Free脆弱性が発見された。CVSSスコア7.8のハイリスクと評価されており、Red Hat Enterprise Linux 7および9の全バージョンが影響を受ける。一方でRed Hat Enterprise Linux 8は影響を受けないことが確認されている。

【CVE-2025-26594】X.OrgとXwaylandにUse-After-Free脆弱...

Red Hat社が2025年2月25日に公開したX.OrgとXwaylandの脆弱性情報によると、ルートカーソルに関連するUse-After-Free脆弱性が発見された。CVSSスコア7.8のハイリスクと評価されており、Red Hat Enterprise Linux 7および9の全バージョンが影響を受ける。一方でRed Hat Enterprise Linux 8は影響を受けないことが確認されている。

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

【CVE-2024-58043】HuaweiのHarmonyOSとEMUIに権限バイパスの脆弱性、サービス機密性への影響が深刻に

【CVE-2024-58043】HuaweiのHarmonyOSとEMUIに権限バイパスの脆弱...

HuaweiのHarmonyOSとEMUIのウィンドウモジュールに権限バイパスの脆弱性が発見された。CVSSスコア7.3のハイリスクと評価され、HarmonyOS 2.0.0から4.3.0までの7バージョンとEMUI 12.0.0から14.0.0までの3バージョンが影響を受ける。脆弱性が悪用された場合、サービスの機密性が損なわれる可能性があり、早急な対応が必要とされている。

【CVE-2024-58043】HuaweiのHarmonyOSとEMUIに権限バイパスの脆弱...

HuaweiのHarmonyOSとEMUIのウィンドウモジュールに権限バイパスの脆弱性が発見された。CVSSスコア7.3のハイリスクと評価され、HarmonyOS 2.0.0から4.3.0までの7バージョンとEMUI 12.0.0から14.0.0までの3バージョンが影響を受ける。脆弱性が悪用された場合、サービスの機密性が損なわれる可能性があり、早急な対応が必要とされている。

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介した攻撃の可能性

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...

OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...

OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。