Tech Insights

【CVE-2025-21349】Windows Remote Desktop Configuration Serviceに認証の脆弱性、複数バージョンのWindowsに影響

【CVE-2025-21349】Windows Remote Desktop Configur...

Microsoftは2025年2月11日、Windows Remote Desktop Configuration Serviceにおける認証の脆弱性を公開した。CVSSスコア6.8の中程度の深刻度と評価され、Windows 10、Windows 11、Windows Serverの複数バージョンに影響。不適切な認証処理により、攻撃者が特定の条件下でリモートデスクトップの設定を改ざんする可能性がある。

【CVE-2025-21349】Windows Remote Desktop Configur...

Microsoftは2025年2月11日、Windows Remote Desktop Configuration Serviceにおける認証の脆弱性を公開した。CVSSスコア6.8の中程度の深刻度と評価され、Windows 10、Windows 11、Windows Serverの複数バージョンに影響。不適切な認証処理により、攻撃者が特定の条件下でリモートデスクトップの設定を改ざんする可能性がある。

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェクションの脆弱性、管理者権限で重要データの改ざんが可能に

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェ...

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0以前のバージョンに重大なSQLインジェクションの脆弱性を発見したことを公開した。EditEventAttendeesのEIDパラメータにおいて、適切なサニタイズ処理がされていない実装により、管理者権限を持つ攻撃者がデータベースを操作可能な状態となっている。CVSSスコア9.3のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェ...

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0以前のバージョンに重大なSQLインジェクションの脆弱性を発見したことを公開した。EditEventAttendeesのEIDパラメータにおいて、適切なサニタイズ処理がされていない実装により、管理者権限を持つ攻撃者がデータベースを操作可能な状態となっている。CVSSスコア9.3のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性、未認証ユーザーによる情報漏洩のリスクが発生

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不要で情報漏洩の危険性

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quotesに深刻な脆弱性、データベース情報漏洩のリスクが発生

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13753】Ultimate Classified Listings 1.4以前にCSRF脆弱性、アカウント乗っ取りのリスクが発覚

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2025-1576】Real Estate Property Management System 1.0にSQL injection脆弱性、リモート攻撃の可能性で早急な対応が必要に

【CVE-2025-1576】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、ajax_state.phpファイルのStateNameパラメータにSQL injection脆弱性が発見された。CVE-2025-1576として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃コードも公開されており、早急な対応が必要とされている。CVSSスコアは6.3(MEDIUM)と評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-1576】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、ajax_state.phpファイルのStateNameパラメータにSQL injection脆弱性が発見された。CVE-2025-1576として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃コードも公開されており、早急な対応が必要とされている。CVSSスコアは6.3(MEDIUM)と評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-1590】SourceCodester E-Learning System 1.0に重大な脆弱性、管理者モジュールのファイルアップロードに制限なし

【CVE-2025-1590】SourceCodester E-Learning System...

VulDBが2025年2月23日に公開した情報によると、SourceCodester E-Learning System 1.0の管理者モジュールに重大な脆弱性が発見された。CVE-2025-1590として識別されるこの脆弱性は、Lesson機能のindex.phpファイルに存在し、制限のないファイルアップロードが可能な状態となっている。CVSSスコアは中程度だが、リモートからの攻撃が可能で早急な対応が必要だ。

【CVE-2025-1590】SourceCodester E-Learning System...

VulDBが2025年2月23日に公開した情報によると、SourceCodester E-Learning System 1.0の管理者モジュールに重大な脆弱性が発見された。CVE-2025-1590として識別されるこの脆弱性は、Lesson機能のindex.phpファイルに存在し、制限のないファイルアップロードが可能な状態となっている。CVSSスコアは中程度だが、リモートからの攻撃が可能で早急な対応が必要だ。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョン1.1.21で修正パッチを適用

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機能に深刻な影響

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機...

MITREが2025年2月24日にSeacms 13.3以前のバージョンにおけるSQLインジェクション脆弱性を公開した。admin_members.phpファイルに存在するこの脆弱性は、攻撃の自動化が可能で管理者機能に影響を及ぼす重大な問題となっている。CISAの評価では深刻なリスクレベルに分類されており、早急な対策が必要とされている。

【CVE-2025-25513】Seacms 13.3にSQLインジェクション脆弱性、管理者機...

MITREが2025年2月24日にSeacms 13.3以前のバージョンにおけるSQLインジェクション脆弱性を公開した。admin_members.phpファイルに存在するこの脆弱性は、攻撃の自動化が可能で管理者機能に影響を及ぼす重大な問題となっている。CISAの評価では深刻なリスクレベルに分類されており、早急な対策が必要とされている。

【CVE-2025-1598】Best Church Management Software 1.0に無制限アップロードの脆弱性、深刻な情報漏洩のリスクが浮上

【CVE-2025-1598】Best Church Management Software ...

Best Church Management Software 1.0において、asset_crud.phpファイルの処理に関連する重大な脆弱性が発見された。photo1引数の操作により無制限のファイルアップロードが可能となる問題で、既に公開済みの状態だ。CVSSスコアは6.3(MEDIUM)と評価され、リモートからの攻撃実行が可能なため、早急な対策が必要とされている。

【CVE-2025-1598】Best Church Management Software ...

Best Church Management Software 1.0において、asset_crud.phpファイルの処理に関連する重大な脆弱性が発見された。photo1引数の操作により無制限のファイルアップロードが可能となる問題で、既に公開済みの状態だ。CVSSスコアは6.3(MEDIUM)と評価され、リモートからの攻撃実行が可能なため、早急な対策が必要とされている。

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXSS脆弱性、ベンダー対応の遅れが深刻な問題に

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のURL Filtering Submenuに、クロスサイトスクリプティングの脆弱性が発見された。url_IP引数の操作によってリモートから攻撃が可能で、CVSSスコア4.8(MEDIUM)と評価されている。既に脆弱性情報と攻撃コードが公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いており、早急な対策が求められている。

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のURL Filtering Submenuに、クロスサイトスクリプティングの脆弱性が発見された。url_IP引数の操作によってリモートから攻撃が可能で、CVSSスコア4.8(MEDIUM)と評価されている。既に脆弱性情報と攻撃コードが公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いており、早急な対策が求められている。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証での攻撃が可能に

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンでCSRF脆弱性が発見、早急なアップデートが必要に

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンで...

Benner ModernaNetのDadosPessoais/SG_Gravarファイルにおいて、引数idItAgの操作によるクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア5.3(MEDIUM)で、影響を受けるバージョンは1.0から1.2.0まで。対策としてバージョン1.2.1へのアップグレードが推奨されている。認証の欠如と組み合わさることで、不正な操作が可能となる可能性がある。

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンで...

Benner ModernaNetのDadosPessoais/SG_Gravarファイルにおいて、引数idItAgの操作によるクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア5.3(MEDIUM)で、影響を受けるバージョンは1.0から1.2.0まで。対策としてバージョン1.2.1へのアップグレードが推奨されている。認証の欠如と組み合わさることで、不正な操作が可能となる可能性がある。

【CVE-2025-1643】Benner ModernaNetにクロスサイトリクエストフォージェリの脆弱性、バージョン1.1.1で修正完了

【CVE-2025-1643】Benner ModernaNetにクロスサイトリクエストフォー...

Benner ModernaNetのバージョン1.1.0以前において、/DadosPessoais/SG_AlterarSenhaファイルの処理に関連するクロスサイトリクエストフォージェリの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されており、リモートからの攻撃が可能だが、ユーザーの操作が必要となる。開発元は即座に対応し、バージョン1.1.1で修正を完了。影響を受ける可能性のあるユーザーには速やかなアップグレードが推奨される。

【CVE-2025-1643】Benner ModernaNetにクロスサイトリクエストフォー...

Benner ModernaNetのバージョン1.1.0以前において、/DadosPessoais/SG_AlterarSenhaファイルの処理に関連するクロスサイトリクエストフォージェリの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価されており、リモートからの攻撃が可能だが、ユーザーの操作が必要となる。開発元は即座に対応し、バージョン1.1.1で修正を完了。影響を受ける可能性のあるユーザーには速やかなアップグレードが推奨される。

【CVE-2024-13494】WordPress File Upload 4.25.2にCSRF脆弱性、管理者権限での改ざんの危険性

【CVE-2024-13494】WordPress File Upload 4.25.2にCS...

Wordfenceは2025年2月25日、WordPress用プラグイン「WordPress File Upload」のバージョン4.25.2以前に存在するCross-Site Request Forgery(CSRF)の脆弱性を公開した。この脆弱性により、認証されていない攻撃者が管理者を騙してリンクをクリックさせることで、アップロードされたファイルに関連するユーザーデータの詳細情報を改ざんすることが可能となる。

【CVE-2024-13494】WordPress File Upload 4.25.2にCS...

Wordfenceは2025年2月25日、WordPress用プラグイン「WordPress File Upload」のバージョン4.25.2以前に存在するCross-Site Request Forgery(CSRF)の脆弱性を公開した。この脆弱性により、認証されていない攻撃者が管理者を騙してリンクをクリックさせることで、アップロードされたファイルに関連するユーザーデータの詳細情報を改ざんすることが可能となる。

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に深刻な脆弱性、未認証でのファイル操作が可能に

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に...

WordfenceがWordPress用プラグインEverest Formsの重大な脆弱性を公開。バージョン3.0.9.4以前において、EVF_Form_Fields_Uploadクラスのformatメソッドにファイルタイプとパスの検証が不十分な問題が発見された。未認証での任意のファイル操作が可能となり、リモートコード実行や情報漏洩のリスクが指摘されている。CVSSスコア9.8のクリティカルな脆弱性として評価された。

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に...

WordfenceがWordPress用プラグインEverest Formsの重大な脆弱性を公開。バージョン3.0.9.4以前において、EVF_Form_Fields_Uploadクラスのformatメソッドにファイルタイプとパスの検証が不十分な問題が発見された。未認証での任意のファイル操作が可能となり、リモートコード実行や情報漏洩のリスクが指摘されている。CVSSスコア9.8のクリティカルな脆弱性として評価された。

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性、バージョン2.7.12などで修正完了

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性...

CombodoのWebベースITサービス管理ツールiTopにおいて、バージョン2.7.12、3.1.2、3.2.0より前のバージョンにクロスサイトスクリプティングの脆弱性が存在することが判明。プリファレンスページを開いた際に発生する可能性があり、CVSS v3.1で深刻度6.8(Medium)と評価。最新バージョンへのアップデートで対策可能。

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性...

CombodoのWebベースITサービス管理ツールiTopにおいて、バージョン2.7.12、3.1.2、3.2.0より前のバージョンにクロスサイトスクリプティングの脆弱性が存在することが判明。プリファレンスページを開いた際に発生する可能性があり、CVSS v3.1で深刻度6.8(Medium)と評価。最新バージョンへのアップデートで対策可能。

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、重大な影響でアップデート推奨

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、...

ModSecurity v3プロジェクトのLibmodsecurity3 3.0.13において、先頭にゼロを含むHTML実体をデコードできない重大な脆弱性が発見された。CVSSスコア7.9(HIGH)と評価される本脆弱性は、特別な権限なしにネットワーク経由での攻撃が可能で、早急な対応が必要とされている。修正版となるバージョン3.0.14が提供されており、システム管理者は速やかなアップデートを検討すべき状況だ。

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、...

ModSecurity v3プロジェクトのLibmodsecurity3 3.0.13において、先頭にゼロを含むHTML実体をデコードできない重大な脆弱性が発見された。CVSSスコア7.9(HIGH)と評価される本脆弱性は、特別な権限なしにネットワーク経由での攻撃が可能で、早急な対応が必要とされている。修正版となるバージョン3.0.14が提供されており、システム管理者は速やかなアップデートを検討すべき状況だ。

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0.18で修正完了

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0...

資産およびIT管理ソフトウェアGLPIにおいて、低権限ユーザーがデバッグモードを有効にして機密情報にアクセスできる重大な脆弱性が発見された。CVE-2025-25192として識別されるこの脆弱性は、バージョン10.0.18未満に影響し、CVSSスコア6.5と評価されている。対策としてバージョン10.0.18へのアップデートまたはinstall/update.phpファイルの削除が推奨される。

【CVE-2025-25192】GLPIにデバッグモードの権限昇格の脆弱性、バージョン10.0...

資産およびIT管理ソフトウェアGLPIにおいて、低権限ユーザーがデバッグモードを有効にして機密情報にアクセスできる重大な脆弱性が発見された。CVE-2025-25192として識別されるこの脆弱性は、バージョン10.0.18未満に影響し、CVSSスコア6.5と評価されている。対策としてバージョン10.0.18へのアップデートまたはinstall/update.phpファイルの削除が推奨される。

【CVE-2025-1262】WordPress用Advanced Google reCaptcha 1.27に脆弱性、未認証攻撃者によるCAPTCHAバイパスが可能に

【CVE-2025-1262】WordPress用Advanced Google reCapt...

WordfenceはWordPress用プラグインAdvanced Google reCaptchaのバージョン1.27以前に重大な脆弱性が存在することを発表した。この脆弱性により、未認証の攻撃者がビルトインMath CAPTCHA検証をバイパスできる状態となっている。CVE-2025-1262として識別され、CVSSスコアは5.3(中程度)と評価されている。開発者による対策が求められる状況だ。

【CVE-2025-1262】WordPress用Advanced Google reCapt...

WordfenceはWordPress用プラグインAdvanced Google reCaptchaのバージョン1.27以前に重大な脆弱性が存在することを発表した。この脆弱性により、未認証の攻撃者がビルトインMath CAPTCHA検証をバイパスできる状態となっている。CVE-2025-1262として識別され、CVSSスコアは5.3(中程度)と評価されている。開発者による対策が求められる状況だ。

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

Capy株式会社の生体認証ソリューション(パスキー)が、ユナイテッドアローズの自社ECサイト公式アプリに導入された。BIPROGYの「Omni-Base for DIGITAL'ATELIER」のオプション機能として実装され、アパレル業界初の採用となる。パスワードレス認証により、フィッシング詐欺や不正アクセスのリスクを大幅に低減し、安全で快適なオンラインショッピング環境を実現する。

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

Capy株式会社の生体認証ソリューション(パスキー)が、ユナイテッドアローズの自社ECサイト公式アプリに導入された。BIPROGYの「Omni-Base for DIGITAL'ATELIER」のオプション機能として実装され、アパレル業界初の採用となる。パスワードレス認証により、フィッシング詐欺や不正アクセスのリスクを大幅に低減し、安全で快適なオンラインショッピング環境を実現する。

【CVE-2025-1152】GNU Binutils 2.43にメモリリーク脆弱性が発見、リモート攻撃の可能性が指摘される

【CVE-2025-1152】GNU Binutils 2.43にメモリリーク脆弱性が発見、リ...

GNU Binutilsのバージョン2.43において、ldコンポーネントのxstrdup.cファイル内のxstrdup関数にメモリリークの脆弱性が発見された。CVE-2025-1152として報告されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で2.3(低)、CVSS 3.1で3.1(低)と評価されている。攻撃難易度は高いものの、特権不要でエクスプロイト可能だ。

【CVE-2025-1152】GNU Binutils 2.43にメモリリーク脆弱性が発見、リ...

GNU Binutilsのバージョン2.43において、ldコンポーネントのxstrdup.cファイル内のxstrdup関数にメモリリークの脆弱性が発見された。CVE-2025-1152として報告されたこの脆弱性は、リモートからの攻撃が可能であり、CVSS 4.0で2.3(低)、CVSS 3.1で3.1(低)と評価されている。攻撃難易度は高いものの、特権不要でエクスプロイト可能だ。

【CVE-2025-24429】Adobe Commerceに不適切なアクセス制御の脆弱性、セキュリティ機能のバイパスリスクが発生

【CVE-2025-24429】Adobe Commerceに不適切なアクセス制御の脆弱性、セ...

Adobeは2025年2月11日、Adobe Commerceの複数バージョンに不適切なアクセス制御の脆弱性が存在することを公開した。この脆弱性により、低権限の攻撃者がセキュリティ機能をバイパスし、不正アクセスを行える可能性がある。CVSSスコアは3.5(低)だが、eコマースプラットフォームのセキュリティリスクとして重要な問題となっている。

【CVE-2025-24429】Adobe Commerceに不適切なアクセス制御の脆弱性、セ...

Adobeは2025年2月11日、Adobe Commerceの複数バージョンに不適切なアクセス制御の脆弱性が存在することを公開した。この脆弱性により、低権限の攻撃者がセキュリティ機能をバイパスし、不正アクセスを行える可能性がある。CVSSスコアは3.5(低)だが、eコマースプラットフォームのセキュリティリスクとして重要な問題となっている。

【CVE-2025-21159】Adobe Illustrator 29.1に重大な脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-21159】Adobe Illustrator 29.1に重大な脆弱性、任...

Adobe Illustrator 29.1および28.7.3以前のバージョンにUse After Free脆弱性が発見された。CVE-2025-21159として識別されるこの脆弱性は、CVSS v3.1で7.8のHigh評価を受けており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。攻撃には特権は不要だが、ユーザーの介入が必要となる。機密性、完全性、可用性のいずれも高い影響を受ける可能性がある。

【CVE-2025-21159】Adobe Illustrator 29.1に重大な脆弱性、任...

Adobe Illustrator 29.1および28.7.3以前のバージョンにUse After Free脆弱性が発見された。CVE-2025-21159として識別されるこの脆弱性は、CVSS v3.1で7.8のHigh評価を受けており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。攻撃には特権は不要だが、ユーザーの介入が必要となる。機密性、完全性、可用性のいずれも高い影響を受ける可能性がある。

【CVE-2025-21126】Adobe InDesign Desktopに入力検証の脆弱性、アプリケーションのクラッシュにつながる恐れ

【CVE-2025-21126】Adobe InDesign Desktopに入力検証の脆弱性...

Adobeは2025年2月11日、InDesign DesktopのID20.0およびID19.5.1以前のバージョンに影響する入力検証の脆弱性を公開した。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くとアプリケーションがクラッシュし、サービス拒否状態に陥る可能性がある。攻撃には被害者の操作が必要だが、特権は不要とされている。

【CVE-2025-21126】Adobe InDesign Desktopに入力検証の脆弱性...

Adobeは2025年2月11日、InDesign DesktopのID20.0およびID19.5.1以前のバージョンに影響する入力検証の脆弱性を公開した。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くとアプリケーションがクラッシュし、サービス拒否状態に陥る可能性がある。攻撃には被害者の操作が必要だが、特権は不要とされている。

【CVE-2025-21121】Adobe InDesign Desktopに深刻な脆弱性、任意コード実行の危険性で緊急対応が必要に

【CVE-2025-21121】Adobe InDesign Desktopに深刻な脆弱性、任...

Adobe InDesign DesktopのバージョンID20.0およびID19.5.1以前に、境界外書き込みの脆弱性が発見された。CVE-2025-21121として識別されるこの脆弱性は、CVSS v3.1で7.8(High)と評価され、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。ユーザーの操作を必要とするものの、システムに重大な影響を及ぼす可能性があるため、早急な対応が推奨されている。

【CVE-2025-21121】Adobe InDesign Desktopに深刻な脆弱性、任...

Adobe InDesign DesktopのバージョンID20.0およびID19.5.1以前に、境界外書き込みの脆弱性が発見された。CVE-2025-21121として識別されるこの脆弱性は、CVSS v3.1で7.8(High)と評価され、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。ユーザーの操作を必要とするものの、システムに重大な影響を及ぼす可能性があるため、早急な対応が推奨されている。

【CVE-2025-21163】Adobe Illustrator 29.1、28.7.3以前のバージョンにスタックベースバッファオーバーフローの脆弱性が発見

【CVE-2025-21163】Adobe Illustrator 29.1、28.7.3以前...

Adobe Systemsは2025年2月11日、Adobe Illustrator 29.1および28.7.3以前のバージョンにスタックベースのバッファオーバーフロー脆弱性(CVE-2025-21163)が存在することを公表した。この脆弱性はCVSS v3.1で7.8(高)と評価され、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作が必要となるものの、攻撃の複雑さは低く、重要な対策が求められる。

【CVE-2025-21163】Adobe Illustrator 29.1、28.7.3以前...

Adobe Systemsは2025年2月11日、Adobe Illustrator 29.1および28.7.3以前のバージョンにスタックベースのバッファオーバーフロー脆弱性(CVE-2025-21163)が存在することを公表した。この脆弱性はCVSS v3.1で7.8(高)と評価され、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作が必要となるものの、攻撃の複雑さは低く、重要な対策が求められる。

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロー脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロ...

Adobe InDesign DesktopのバージョンID20.0、ID19.5.1およびそれ以前のバージョンに整数アンダーフロー脆弱性が発見された。CVE-2025-21158として識別されるこの脆弱性は、CVSS v3.1で7.8の高リスクと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてで高レベルとされている。

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロ...

Adobe InDesign DesktopのバージョンID20.0、ID19.5.1およびそれ以前のバージョンに整数アンダーフロー脆弱性が発見された。CVE-2025-21158として識別されるこの脆弱性は、CVSS v3.1で7.8の高リスクと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてで高レベルとされている。

【CVE-2025-21125】InDesign DesktopにNULL Pointer Dereferenceの脆弱性、アプリケーションのクラッシュのリスクが判明

【CVE-2025-21125】InDesign DesktopにNULL Pointer D...

Adobe社のInDesign Desktop(ID20.0、ID19.5.1以前)にNULL Pointer Dereferenceの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くことでアプリケーションがクラッシュする可能性がある。攻撃には特権は不要だが、ローカルアクセスとユーザー操作が必要となる。信頼できない送信元からのファイルを開かないよう注意が必要。

【CVE-2025-21125】InDesign DesktopにNULL Pointer D...

Adobe社のInDesign Desktop(ID20.0、ID19.5.1以前)にNULL Pointer Dereferenceの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くことでアプリケーションがクラッシュする可能性がある。攻撃には特権は不要だが、ローカルアクセスとユーザー操作が必要となる。信頼できない送信元からのファイルを開かないよう注意が必要。