Tech Insights

【CVE-2025-1599】Best Church Management Software 1.0に深刻な脆弱性、リモート攻撃の危険性が浮上

【CVE-2025-1599】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、profile_crud.phpファイルにパストラバーサルの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、リモートからの攻撃が可能で既に公開されているにもかかわらず、ベンダーは現時点で対応を行っていない。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-1599】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、profile_crud.phpファイルにパストラバーサルの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、リモートからの攻撃が可能で既に公開されているにもかかわらず、ベンダーは現時点で対応を行っていない。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み取りによるシステムクラッシュの危険性

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱性、医療データのセキュリティリスクに警鐘

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱...

Benner ModernaNetのバージョン1.1.0以前に重大な脆弱性が発見され、CVE-2025-1641として公開された。SQLインジェクションの脆弱性により、リモートからの攻撃が可能な状態にある。CVSS 3.1で7.3(High)と評価される深刻な問題であり、医療データのセキュリティリスクが懸念される。対策としてバージョン1.1.1へのアップデートが推奨されている。

【CVE-2025-1641】Benner ModernaNetにSQLインジェクションの脆弱...

Benner ModernaNetのバージョン1.1.0以前に重大な脆弱性が発見され、CVE-2025-1641として公開された。SQLインジェクションの脆弱性により、リモートからの攻撃が可能な状態にある。CVSS 3.1で7.3(High)と評価される深刻な問題であり、医療データのセキュリティリスクが懸念される。対策としてバージョン1.1.1へのアップデートが推奨されている。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1.1で対策可能に

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

SBテクノロジーがXM Cyberプラットフォームを販売開始、継続的な脆弱性管理とセキュリティ対策の効率化を実現

SBテクノロジーがXM Cyberプラットフォームを販売開始、継続的な脆弱性管理とセキュリティ...

SBテクノロジーは2025年2月27日より、イスラエルXM Cyber社のクラウド型エクスポージャー管理プラットフォーム「XM Cyber」の販売を開始した。CTEMフレームワークに基づく本プラットフォームは、攻撃者視点での脆弱性検出や設定ミスの洗い出しを行い、効果的な修正のための優先順位付けを実現する。AWS、Azure、GCPなどのクラウド環境やオンプレミス環境に対応し、包括的なセキュリティ対策を支援する。

SBテクノロジーがXM Cyberプラットフォームを販売開始、継続的な脆弱性管理とセキュリティ...

SBテクノロジーは2025年2月27日より、イスラエルXM Cyber社のクラウド型エクスポージャー管理プラットフォーム「XM Cyber」の販売を開始した。CTEMフレームワークに基づく本プラットフォームは、攻撃者視点での脆弱性検出や設定ミスの洗い出しを行い、効果的な修正のための優先順位付けを実現する。AWS、Azure、GCPなどのクラウド環境やオンプレミス環境に対応し、包括的なセキュリティ対策を支援する。

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイトのセキュリティ強化に貢献

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイト...

日立システムズは2025年2月27日、クラウド型Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」に脆弱性診断機能をオプションとして追加すると発表した。Webサイトの脆弱性を自動で診断し、フィッシングサイトなどの不正利用を防止する。基本ライセンス料金は月額3万円から、オプション追加費用は1FQDNあたり月額1万5000円からとなっている。

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイト...

日立システムズは2025年2月27日、クラウド型Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」に脆弱性診断機能をオプションとして追加すると発表した。Webサイトの脆弱性を自動で診断し、フィッシングサイトなどの不正利用を防止する。基本ライセンス料金は月額3万円から、オプション追加費用は1FQDNあたり月額1万5000円からとなっている。

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティ株式会社が2025年2月27日、企業の情報セキュリティ確保を包括的に支援する新サービス「SCSKセキュリティリテイナー」の提供開始を発表した。年間99万円のBasicプランで、セキュリティアセスメントや脆弱性診断、インシデント対応支援など、平時の体制強化から有事の対応までをカバー。2030年までに国内300社との契約を目指し、サービスの拡充を進めていく。

SCSKセキュリティが企業向けセキュリティリテイナーサービスを開始、包括的なセキュリティ対策の実現へ

SCSKセキュリティ株式会社が2025年2月27日、企業の情報セキュリティ確保を包括的に支援する新サービス「SCSKセキュリティリテイナー」の提供開始を発表した。年間99万円のBasicプランで、セキュリティアセスメントや脆弱性診断、インシデント対応支援など、平時の体制強化から有事の対応までをカバー。2030年までに国内300社との契約を目指し、サービスの拡充を進めていく。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPressとCMSのセキュリティ運用負荷を大幅に軽減

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

【CVE-2025-24437】Adobe Commerce複数バージョンでアクセス制御の脆弱性、権限昇格のリスクで早急な対応が必要に

【CVE-2025-24437】Adobe Commerce複数バージョンでアクセス制御の脆弱...

Adobeは2025年2月11日、Adobe Commerceの複数バージョンにおけるアクセス制御の脆弱性を公開した。CVE-2025-24437として識別されるこの脆弱性は、低権限の攻撃者がセキュリティ対策をバイパスして権限を昇格させる可能性があり、ユーザー操作を必要としない点が特徴だ。影響を受けるバージョンは2.4.8-beta1から2.4.4-p11以前まで広範囲に及んでいる。

【CVE-2025-24437】Adobe Commerce複数バージョンでアクセス制御の脆弱...

Adobeは2025年2月11日、Adobe Commerceの複数バージョンにおけるアクセス制御の脆弱性を公開した。CVE-2025-24437として識別されるこの脆弱性は、低権限の攻撃者がセキュリティ対策をバイパスして権限を昇格させる可能性があり、ユーザー操作を必要としない点が特徴だ。影響を受けるバージョンは2.4.8-beta1から2.4.4-p11以前まで広範囲に及んでいる。

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXSS脆弱性、セッション乗っ取りのリスクが深刻に

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...

Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。

【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...

Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF脆弱性、プロパティデータ削除の危険性が判明

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF...

WordPressプラグイン「Houzez Property Feed」のバージョン2.4.21以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、プロパティフィードのエクスポートデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-0808】Houzez Property Feed 2.4.21にCSRF...

WordPressプラグイン「Houzez Property Feed」のバージョン2.4.21以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、プロパティフィードのエクスポートデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで深刻な影響の可能性

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...

xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。

【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...

xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バックアップ管理機能に重大な欠陥

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...

ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。

【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...

ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時アップデートが必要

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...

ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。

【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...

ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フィールドレベルの権限チェックを強化し修正完了

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...

GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。

【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...

GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベルの深刻度で早急な対応が必要に

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...

ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...

ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1597】Best Church Management Software 1.0にXSS脆弱性、教会管理システムのセキュリティに警鐘

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2025-1593】SourceCodester Best Employee Management System 1.0にアップロード機能の脆弱性、リモート攻撃のリスクに

【CVE-2025-1593】SourceCodester Best Employee Man...

VulDBが2025年2月23日にSourceCodester Best Employee Management System 1.0の重大な脆弱性を公開した。プロファイル画像ハンドラーコンポーネントに制限なしアップロードの脆弱性が存在し、リモートからの攻撃が可能となっている。CVSSスコアは最大5.1で、CWEではCWE-434とCWE-284に分類される。この脆弱性は従業員情報のセキュリティに重大な影響を与える可能性がある。

【CVE-2025-1593】SourceCodester Best Employee Man...

VulDBが2025年2月23日にSourceCodester Best Employee Management System 1.0の重大な脆弱性を公開した。プロファイル画像ハンドラーコンポーネントに制限なしアップロードの脆弱性が存在し、リモートからの攻撃が可能となっている。CVSSスコアは最大5.1で、CWEではCWE-434とCWE-284に分類される。この脆弱性は従業員情報のセキュリティに重大な影響を与える可能性がある。

【CVE-2025-27112】Navidrome 0.52.0-0.54.5に認証バイパスの脆弱性、読み取り専用データへのアクセスが可能に

【CVE-2025-27112】Navidrome 0.52.0-0.54.5に認証バイパスの...

オープンソースの音楽コレクションサーバーNavidromeにおいて、Subsonic APIの認証バイパス脆弱性が発見された。バージョン0.52.0から0.54.5未満が影響を受け、存在しないユーザー名と空のパスワードハッシュによる認証チェックの回避が可能。読み取り専用データへのアクセスが可能だが、データ変更は制限される。バージョン0.54.5で修正パッチが提供された。

【CVE-2025-27112】Navidrome 0.52.0-0.54.5に認証バイパスの...

オープンソースの音楽コレクションサーバーNavidromeにおいて、Subsonic APIの認証バイパス脆弱性が発見された。バージョン0.52.0から0.54.5未満が影響を受け、存在しないユーザー名と空のパスワードハッシュによる認証チェックの回避が可能。読み取り専用データへのアクセスが可能だが、データ変更は制限される。バージョン0.54.5で修正パッチが提供された。

【CVE-2025-27141】Metabase Enterprise Editionでキャッシュデータの権限バイパスが可能な脆弱性が発見

【CVE-2025-27141】Metabase Enterprise Editionでキャッ...

GitHubは2025年2月24日、Metabase Enterprise Editionにおいてキャッシュされた質問結果が権限のないユーザーに閲覧可能となる脆弱性を公開した。バージョン1.47.0から1.53.2未満に影響し、なりすまし権限を持つユーザーが本来アクセスできないキャッシュデータを閲覧できる状態となっていた。対策として最新版へのアップデートまたはキャッシュ機能の無効化が推奨される。

【CVE-2025-27141】Metabase Enterprise Editionでキャッ...

GitHubは2025年2月24日、Metabase Enterprise Editionにおいてキャッシュされた質問結果が権限のないユーザーに閲覧可能となる脆弱性を公開した。バージョン1.47.0から1.53.2未満に影響し、なりすまし権限を持つユーザーが本来アクセスできないキャッシュデータを閲覧できる状態となっていた。対策として最新版へのアップデートまたはキャッシュ機能の無効化が推奨される。

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱性、内部サービスへの不正アクセスが可能な状態に

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...

WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...

WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性、APIキーやトークンの漏洩リスクが発生

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...

WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...

WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆弱性、APIキーなど重要情報の漏洩の危険性

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...

WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...

WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。

IIJが海外拠点向けIT環境調査サービスを発表、セキュリティリスク評価による脅威対策を強化

IIJが海外拠点向けIT環境調査サービスを発表、セキュリティリスク評価による脅威対策を強化

株式会社インターネットイニシアティブは2025年4月1日より、海外拠点のIT環境調査とセキュリティリスク評価を行う「IIJグローバルオンサイトサーベイソリューション」の提供を開始する。海外事情に精通したエンジニアによる現地調査を実施し、多言語対応でIT環境の実態把握とセキュリティリスクの可視化を実現。3つのプランを用意し、インターネット出口調査から包括的なITセキュリティアセスメントまで、顧客ニーズに応じた調査を提供する。

IIJが海外拠点向けIT環境調査サービスを発表、セキュリティリスク評価による脅威対策を強化

株式会社インターネットイニシアティブは2025年4月1日より、海外拠点のIT環境調査とセキュリティリスク評価を行う「IIJグローバルオンサイトサーベイソリューション」の提供を開始する。海外事情に精通したエンジニアによる現地調査を実施し、多言語対応でIT環境の実態把握とセキュリティリスクの可視化を実現。3つのプランを用意し、インターネット出口調査から包括的なITセキュリティアセスメントまで、顧客ニーズに応じた調査を提供する。

【CVE-2025-21376】WindowsのLDAP脆弱性が発見、多数のバージョンに影響し早急な対応が必要に

【CVE-2025-21376】WindowsのLDAP脆弱性が発見、多数のバージョンに影響し...

Microsoftは2025年2月11日、WindowsのLightweight Directory Access Protocol (LDAP)にリモートコード実行の脆弱性CVE-2025-21376を発見したと発表した。CVSSスコア8.1の高リスク脆弱性として評価され、Windows Server 2008からWindows Server 2025、Windows 10からWindows 11まで広範な製品が影響を受ける。攻撃者によるシステムの完全な制御権限の奪取が可能となる深刻な脆弱性であり、早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-21376】WindowsのLDAP脆弱性が発見、多数のバージョンに影響し...

Microsoftは2025年2月11日、WindowsのLightweight Directory Access Protocol (LDAP)にリモートコード実行の脆弱性CVE-2025-21376を発見したと発表した。CVSSスコア8.1の高リスク脆弱性として評価され、Windows Server 2008からWindows Server 2025、Windows 10からWindows 11まで広範な製品が影響を受ける。攻撃者によるシステムの完全な制御権限の奪取が可能となる深刻な脆弱性であり、早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-21183】Windows ReFSに重大な脆弱性、Server 2025とWindows 11に影響が及ぶ可能性

【CVE-2025-21183】Windows ReFSに重大な脆弱性、Server 2025...

MicrosoftはWindows Resilient File System (ReFS)のDeduplicationサービスに権限昇格の脆弱性を発見した。Windows Server 2025およびWindows 11 Version 24H2のx64/ARM64システムが影響を受け、CVSS v3.1で深刻度スコア7.4と評価されている。バージョン10.0.26100.0から10.0.26100.3194のシステムが対象で、早急な対応が求められている。

【CVE-2025-21183】Windows ReFSに重大な脆弱性、Server 2025...

MicrosoftはWindows Resilient File System (ReFS)のDeduplicationサービスに権限昇格の脆弱性を発見した。Windows Server 2025およびWindows 11 Version 24H2のx64/ARM64システムが影響を受け、CVSS v3.1で深刻度スコア7.4と評価されている。バージョン10.0.26100.0から10.0.26100.3194のシステムが対象で、早急な対応が求められている。

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモートコード実行の危険性で緊急対応が必要に

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモート...

Microsoftは2025年2月11日、Office製品群に重大なリモートコード実行の脆弱性(CVE-2025-21392)を公開した。影響範囲はOffice 2019からLTSC 2024まで広範に及び、CVSSスコア7.8と高いリスクレベルが報告されている。脆弱性はUse After Free(CWE-416)に分類され、攻撃者による遠隔からのコード実行を可能にする深刻な問題となっている。

【CVE-2025-21392】Microsoft Office製品群に重大な脆弱性、リモート...

Microsoftは2025年2月11日、Office製品群に重大なリモートコード実行の脆弱性(CVE-2025-21392)を公開した。影響範囲はOffice 2019からLTSC 2024まで広範に及び、CVSSスコア7.8と高いリスクレベルが報告されている。脆弱性はUse After Free(CWE-416)に分類され、攻撃者による遠隔からのコード実行を可能にする深刻な問題となっている。

【CVE-2025-21181】MicrosoftのMessage Queuingシステムに深刻なDoS脆弱性が発見、Windows全般に影響

【CVE-2025-21181】MicrosoftのMessage Queuingシステムに深...

MicrosoftはMessage Queuing (MSMQ)システムにおける重大なDoS脆弱性(CVE-2025-21181)を公開した。この脆弱性はCVSSスコア7.5の高リスク評価を受け、Windows Server 2008から最新のWindows 11まで広範な影響を及ぼす。特別な認証なしでリモートから攻撃可能であり、企業システムの可用性に重大な影響を与える可能性がある。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-21181】MicrosoftのMessage Queuingシステムに深...

MicrosoftはMessage Queuing (MSMQ)システムにおける重大なDoS脆弱性(CVE-2025-21181)を公開した。この脆弱性はCVSSスコア7.5の高リスク評価を受け、Windows Server 2008から最新のWindows 11まで広範な影響を及ぼす。特別な認証なしでリモートから攻撃可能であり、企業システムの可用性に重大な影響を与える可能性がある。早急なセキュリティパッチの適用が推奨される。

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subscriber権限で任意のオプション値削除が可能に

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subs...

WordPressテーマ「ZoxPress」において、認証済みユーザーが任意のオプション値を削除できる深刻な脆弱性が発見された。この脆弱性はCVE-2024-13654として識別され、CVSSスコア8.1と高いリスクレベルに分類されている。2.12.0以前のバージョンが影響を受け、Subscriber権限以上のユーザーがサービス拒否攻撃を引き起こす可能性がある。

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subs...

WordPressテーマ「ZoxPress」において、認証済みユーザーが任意のオプション値を削除できる深刻な脆弱性が発見された。この脆弱性はCVE-2024-13654として識別され、CVSSスコア8.1と高いリスクレベルに分類されている。2.12.0以前のバージョンが影響を受け、Subscriber権限以上のユーザーがサービス拒否攻撃を引き起こす可能性がある。