Tech Insights

【CVE-2025-25901】TP-Link TL-WR841ND V11にバッファオーバーフロー脆弱性、DoS攻撃のリスクが浮上

【CVE-2025-25901】TP-Link TL-WR841ND V11にバッファオーバー...

MITREが2025年2月13日に公開したTP-Link TL-WR841ND V11の脆弱性情報によると、「/userRpm/WanSlaacCfgRpm.htm」におけるdnsserver1およびdnsserver2パラメータにバッファオーバーフロー脆弱性が存在することが判明した。この脆弱性により、攻撃者が細工されたパケットを送信することでDoS攻撃を実行できる可能性があり、早急な対応が求められている。

【CVE-2025-25901】TP-Link TL-WR841ND V11にバッファオーバー...

MITREが2025年2月13日に公開したTP-Link TL-WR841ND V11の脆弱性情報によると、「/userRpm/WanSlaacCfgRpm.htm」におけるdnsserver1およびdnsserver2パラメータにバッファオーバーフロー脆弱性が存在することが判明した。この脆弱性により、攻撃者が細工されたパケットを送信することでDoS攻撃を実行できる可能性があり、早急な対応が求められている。

ハートコアとアイロバがセキュリティ対策ウェビナーを開催、HeartCore CMSとWAFによるWebサイト防御力強化を解説

ハートコアとアイロバがセキュリティ対策ウェビナーを開催、HeartCore CMSとWAFによ...

ハートコア株式会社と株式会社アイロバは、2025年3月6日にWebサイトのセキュリティ強化に関するウェビナーを共同開催する。HeartCore CMSのセキュリティ機能とWAFによる脆弱性対策について解説し、実際の被害事例も交えながら具体的な対策方法を紹介する予定だ。参加費は無料で、セキュリティ担当者や経営者層向けにわかりやすい内容となっている。

ハートコアとアイロバがセキュリティ対策ウェビナーを開催、HeartCore CMSとWAFによ...

ハートコア株式会社と株式会社アイロバは、2025年3月6日にWebサイトのセキュリティ強化に関するウェビナーを共同開催する。HeartCore CMSのセキュリティ機能とWAFによる脆弱性対策について解説し、実際の被害事例も交えながら具体的な対策方法を紹介する予定だ。参加費は無料で、セキュリティ担当者や経営者層向けにわかりやすい内容となっている。

Visual Studio 2022 17.13でコード分析機能が強化、セキュリティ警告の精度向上で開発効率が改善

Visual Studio 2022 17.13でコード分析機能が強化、セキュリティ警告の精度...

MicrosoftがVisual Studio 2022 17.13のコード分析機能の改善を発表。MORSEの推奨に基づき、C26100、C26831、C33001の3つの重要なセキュリティ警告を強化。大規模コードベースでの誤検知率を10%以下に抑え、競合状態の検出やメモリ割り当ての解析が向上。新診断機能の追加とコミュニティフィードバックに基づく改善により、より安全なC++開発が可能に。

Visual Studio 2022 17.13でコード分析機能が強化、セキュリティ警告の精度...

MicrosoftがVisual Studio 2022 17.13のコード分析機能の改善を発表。MORSEの推奨に基づき、C26100、C26831、C33001の3つの重要なセキュリティ警告を強化。大規模コードベースでの誤検知率を10%以下に抑え、競合状態の検出やメモリ割り当ての解析が向上。新診断機能の追加とコミュニティフィードバックに基づく改善により、より安全なC++開発が可能に。

MicrosoftがAzure SDK for Rust Betaを公開、高性能で安全なクラウドアプリケーション開発が可能に

MicrosoftがAzure SDK for Rust Betaを公開、高性能で安全なクラウ...

MicrosoftがAzure SDK for Rust Betaを2025年2月19日に公開した。Identity、Key Vault secrets、Key Vault keys、Event Hubs、Cosmos DBのライブラリを提供し、Rustプログラマーが効率的にAzureサービスを活用できる環境を整備。高いパフォーマンスとメモリ安全性を特徴とするRust言語での開発をサポートすることで、より信頼性の高いクラウドアプリケーションの構築が可能になる。

MicrosoftがAzure SDK for Rust Betaを公開、高性能で安全なクラウ...

MicrosoftがAzure SDK for Rust Betaを2025年2月19日に公開した。Identity、Key Vault secrets、Key Vault keys、Event Hubs、Cosmos DBのライブラリを提供し、Rustプログラマーが効率的にAzureサービスを活用できる環境を整備。高いパフォーマンスとメモリ安全性を特徴とするRust言語での開発をサポートすることで、より信頼性の高いクラウドアプリケーションの構築が可能になる。

【CVE-2025-25898】TP-Link TL-WR841ND V11にバッファオーバーフロー脆弱性、DoS攻撃のリスクが浮上

【CVE-2025-25898】TP-Link TL-WR841ND V11にバッファオーバー...

MITRE社がTP-Link TL-WR841ND V11のWlanSecurityRpm.htmに存在するpskSecretパラメータにバッファオーバーフロー脆弱性を発見し、CVE-2025-25898として公開した。この脆弱性により、攻撃者は細工されたパケットを送信することでDoS攻撃を引き起こすことが可能となっている。CISAの調査により、攻撃の自動化が可能であることも判明し、早急な対策が必要な状況となっている。

【CVE-2025-25898】TP-Link TL-WR841ND V11にバッファオーバー...

MITRE社がTP-Link TL-WR841ND V11のWlanSecurityRpm.htmに存在するpskSecretパラメータにバッファオーバーフロー脆弱性を発見し、CVE-2025-25898として公開した。この脆弱性により、攻撃者は細工されたパケットを送信することでDoS攻撃を引き起こすことが可能となっている。CISAの調査により、攻撃の自動化が可能であることも判明し、早急な対策が必要な状況となっている。

【CVE-2025-0934】Job Recruitment 1.0にSQLインジェクションの脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-0934】Job Recruitment 1.0にSQLインジェクションの...

code-projectsのJob Recruitment 1.0において、/parse/_call_job_search_ajax.phpファイル内の引数n操作によるSQLインジェクションの脆弱性が発見された。CVSS 4.0で5.3、CVSS 3.1で6.3の中程度の深刻度を示し、リモートからの攻撃が可能で、攻撃の複雑さは低いとされている。この脆弱性はCWE-89とCWE-74に分類され、早急な対策が必要とされる。

【CVE-2025-0934】Job Recruitment 1.0にSQLインジェクションの...

code-projectsのJob Recruitment 1.0において、/parse/_call_job_search_ajax.phpファイル内の引数n操作によるSQLインジェクションの脆弱性が発見された。CVSS 4.0で5.3、CVSS 3.1で6.3の中程度の深刻度を示し、リモートからの攻撃が可能で、攻撃の複雑さは低いとされている。この脆弱性はCWE-89とCWE-74に分類され、早急な対策が必要とされる。

【CVE-2025-25168】WordPress用プラグインBookPressにXSS脆弱性が発見、深刻度Highで早急な対応が必要に

【CVE-2025-25168】WordPress用プラグインBookPressにXSS脆弱性...

セキュリティ企業のPatchstack OÜはWordPress用プラグイン「BookPress - For Book Authors」にCSRFを経由したXSS脆弱性が存在することを公開した。CVSSスコア7.1で深刻度Highと評価されており、影響を受けるバージョンは1.2.7以前のすべて。攻撃元区分はネットワークで、攻撃条件の複雑さは低く、特権は不要だが利用者の関与が必要となっている。早急な対応が求められる。

【CVE-2025-25168】WordPress用プラグインBookPressにXSS脆弱性...

セキュリティ企業のPatchstack OÜはWordPress用プラグイン「BookPress - For Book Authors」にCSRFを経由したXSS脆弱性が存在することを公開した。CVSSスコア7.1で深刻度Highと評価されており、影響を受けるバージョンは1.2.7以前のすべて。攻撃元区分はネットワークで、攻撃条件の複雑さは低く、特権は不要だが利用者の関与が必要となっている。早急な対応が求められる。

【CVE-2025-0169】DWT Directory ListingテーマにXSS脆弱性、投稿者権限で攻撃コードの実行が可能に

【CVE-2025-0169】DWT Directory ListingテーマにXSS脆弱性、...

WordPressテーマ「DWT - Directory & Listing」のバージョン3.3.4以前に、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。投稿者以上の権限を持つユーザーが、ショートコード経由で任意のWebスクリプトを注入可能で、訪問者のブラウザ上で実行される恐れがある。CVSSスコアは6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2025-0169】DWT Directory ListingテーマにXSS脆弱性、...

WordPressテーマ「DWT - Directory & Listing」のバージョン3.3.4以前に、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。投稿者以上の権限を持つユーザーが、ショートコード経由で任意のWebスクリプトを注入可能で、訪問者のブラウザ上で実行される恐れがある。CVSSスコアは6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2025-21418】Windows Ancillary Function Driver for WinSockに権限昇格の脆弱性、複数のバージョンに影響

【CVE-2025-21418】Windows Ancillary Function Driv...

Microsoftは2025年2月11日、Windows Ancillary Function Driver for WinSockに権限昇格の脆弱性が存在することを公開した。CVE-2025-21418として識別されたこの脆弱性は、CVSS v3.1で深刻度7.8(HIGH)と評価され、Windows Server 2008 SP2からWindows 11 Version 24H2まで広範なバージョンに影響を及ぼす。CWE-122(Heap-based Buffer Overflow)に分類され、早急な対応が必要とされている。

【CVE-2025-21418】Windows Ancillary Function Driv...

Microsoftは2025年2月11日、Windows Ancillary Function Driver for WinSockに権限昇格の脆弱性が存在することを公開した。CVE-2025-21418として識別されたこの脆弱性は、CVSS v3.1で深刻度7.8(HIGH)と評価され、Windows Server 2008 SP2からWindows 11 Version 24H2まで広範なバージョンに影響を及ぼす。CWE-122(Heap-based Buffer Overflow)に分類され、早急な対応が必要とされている。

【CVE-2025-1201】SourceCodester製Best Church Management Software 1.1にSQL injection脆弱性が発見、教会の個人情報漏洩のリスクに

【CVE-2025-1201】SourceCodester製Best Church Manag...

SourceCodester社のBest Church Management Software 1.1において、profile_crud.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1201として識別されるこの脆弱性は、CVSS 3.1で中程度(MEDIUM)の6.3を記録している。リモートからの攻撃が可能で、すでに攻撃手法が公開されているため、教会メンバーの個人情報漏洩リスクが指摘されている。

【CVE-2025-1201】SourceCodester製Best Church Manag...

SourceCodester社のBest Church Management Software 1.1において、profile_crud.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1201として識別されるこの脆弱性は、CVSS 3.1で中程度(MEDIUM)の6.3を記録している。リモートからの攻撃が可能で、すでに攻撃手法が公開されているため、教会メンバーの個人情報漏洩リスクが指摘されている。

【CVE-2024-13639】WordPressプラグインRead More & Accordionに認証バイパスの脆弱性、データ改変や損失のリスクが発生

【CVE-2024-13639】WordPressプラグインRead More & Accor...

WordPressプラグイン「Read More & Accordion」のバージョン3.4.2以前において、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済みユーザーが任意の「read more」投稿を削除できる状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃条件の複雑さは低く、データの改変や損失のリスクが指摘されており、早急な対応が必要とされている。

【CVE-2024-13639】WordPressプラグインRead More & Accor...

WordPressプラグイン「Read More & Accordion」のバージョン3.4.2以前において、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済みユーザーが任意の「read more」投稿を削除できる状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃条件の複雑さは低く、データの改変や損失のリスクが指摘されており、早急な対応が必要とされている。

【CVE-2024-13606】JS Help Deskプラグインに深刻な脆弱性、WordPressサイトの情報漏洩リスクが発生

【CVE-2024-13606】JS Help Deskプラグインに深刻な脆弱性、WordPr...

WordPressプラグイン「JS Help Desk – The Ultimate Help Desk & Support Plugin」のバージョン2.8.8以前に重大な脆弱性が発見された。この脆弱性により、認証されていないユーザーがサポートチケットの添付ファイルに不正アクセス可能となり、CVSSスコア7.5の深刻度と評価されている。セキュリティ研究者のTim Coenによって発見されたこの問題は、早急な対応が必要とされている。

【CVE-2024-13606】JS Help Deskプラグインに深刻な脆弱性、WordPr...

WordPressプラグイン「JS Help Desk – The Ultimate Help Desk & Support Plugin」のバージョン2.8.8以前に重大な脆弱性が発見された。この脆弱性により、認証されていないユーザーがサポートチケットの添付ファイルに不正アクセス可能となり、CVSSスコア7.5の深刻度と評価されている。セキュリティ研究者のTim Coenによって発見されたこの問題は、早急な対応が必要とされている。

【CVE-2025-22480】Dell SupportAssist OS Recoveryにシンボリックリンク攻撃の脆弱性、特権昇格のリスクに対応

【CVE-2025-22480】Dell SupportAssist OS Recoveryに...

Dellは2025年2月13日、Dell SupportAssist OS Recoveryのバージョン5.5.13.1未満に存在するシンボリックリンク攻撃の脆弱性を公開した。この脆弱性はCVE-2025-22480として識別され、低権限のユーザーによる特権昇格と任意のファイル削除のリスクが確認されている。CVSSスコアは7.0(HIGH)と評価され、早急なアップデートが推奨されている。

【CVE-2025-22480】Dell SupportAssist OS Recoveryに...

Dellは2025年2月13日、Dell SupportAssist OS Recoveryのバージョン5.5.13.1未満に存在するシンボリックリンク攻撃の脆弱性を公開した。この脆弱性はCVE-2025-22480として識別され、低権限のユーザーによる特権昇格と任意のファイル削除のリスクが確認されている。CVSSスコアは7.0(HIGH)と評価され、早急なアップデートが推奨されている。

【CVE-2025-25897】TP-Link TL-WR841ND V11にバッファオーバーフロー脆弱性、DoS攻撃のリスクが発覚

【CVE-2025-25897】TP-Link TL-WR841ND V11にバッファオーバー...

MITREは2025年2月13日、TP-Link TL-WR841ND V11のWanStaticIpV6CfgRpm.htmページにおいて、ipパラメータを介したバッファオーバーフロー脆弱性を公開した。この脆弱性は【CVE-2025-25897】として識別されており、悪意のある攻撃者が特別に細工されたパケットを送信することでDoS攻撃を引き起こす可能性があることが判明している。

【CVE-2025-25897】TP-Link TL-WR841ND V11にバッファオーバー...

MITREは2025年2月13日、TP-Link TL-WR841ND V11のWanStaticIpV6CfgRpm.htmページにおいて、ipパラメータを介したバッファオーバーフロー脆弱性を公開した。この脆弱性は【CVE-2025-25897】として識別されており、悪意のある攻撃者が特別に細工されたパケットを送信することでDoS攻撃を引き起こす可能性があることが判明している。

EGテスティングサービスが新サービス「ハイパーケアサポートパック」を発表、製品リリース前後の包括的サポートを実現

EGテスティングサービスが新サービス「ハイパーケアサポートパック」を発表、製品リリース前後の包...

イー・ガーディアン株式会社のグループ会社EGテスティングサービスは、新製品・サービスのリリース前後における重要期間に集中的なサポートを提供する「ハイパーケアサポートパック」を2025年2月12日に発表した。マニュアル作成からユーザーサポート、SNS分析、不具合検証まで包括的なサービスを提供し、製品・サービスの安定的な立ち上げを支援する。

EGテスティングサービスが新サービス「ハイパーケアサポートパック」を発表、製品リリース前後の包...

イー・ガーディアン株式会社のグループ会社EGテスティングサービスは、新製品・サービスのリリース前後における重要期間に集中的なサポートを提供する「ハイパーケアサポートパック」を2025年2月12日に発表した。マニュアル作成からユーザーサポート、SNS分析、不具合検証まで包括的なサービスを提供し、製品・サービスの安定的な立ち上げを支援する。

o9ソリューションズが自動車部品サプライヤーのサプライチェーン変革事例を共有するイベント『Go&See』を開催、業界のDX推進に貢献

o9ソリューションズが自動車部品サプライヤーのサプライチェーン変革事例を共有するイベント『Go...

o9ソリューションズ・ジャパンは、大手自動車部品サプライヤーのマレリ株式会社とともに、サプライチェーン変革の実例を共有するイベント『Go&See』を2025年3月19日に開催する。o9デジタルブレインを活用したSIOP変革プロジェクトの事例紹介やソリューションデモを通じて、自動車産業における課題解決や改革推進に貢献することを目指している。

o9ソリューションズが自動車部品サプライヤーのサプライチェーン変革事例を共有するイベント『Go...

o9ソリューションズ・ジャパンは、大手自動車部品サプライヤーのマレリ株式会社とともに、サプライチェーン変革の実例を共有するイベント『Go&See』を2025年3月19日に開催する。o9デジタルブレインを活用したSIOP変革プロジェクトの事例紹介やソリューションデモを通じて、自動車産業における課題解決や改革推進に貢献することを目指している。

【CVE-2024-57556】store v.2.14.2にクロスサイトスクリプティングの脆弱性、任意コード実行のリスクが発覚

【CVE-2024-57556】store v.2.14.2にクロスサイトスクリプティングの脆...

MITREは2025年1月23日、nbubna社のJavaScriptライブラリstore v.2.14.2およびそれ以前のバージョンにおいて、クロスサイトスクリプティングの脆弱性が発見されたことを公開した。store.deep.jsコンポーネントで任意のコード実行が可能となる脆弱性が確認され、CVSSスコア6.1でMedium評価とされている。CISAの分析では、この脆弱性の悪用は自動化可能で部分的な技術的影響が予想されることが明らかになった。

【CVE-2024-57556】store v.2.14.2にクロスサイトスクリプティングの脆...

MITREは2025年1月23日、nbubna社のJavaScriptライブラリstore v.2.14.2およびそれ以前のバージョンにおいて、クロスサイトスクリプティングの脆弱性が発見されたことを公開した。store.deep.jsコンポーネントで任意のコード実行が可能となる脆弱性が確認され、CVSSスコア6.1でMedium評価とされている。CISAの分析では、この脆弱性の悪用は自動化可能で部分的な技術的影響が予想されることが明らかになった。

【CVE-2025-0411】7-ZipにMark-of-the-Webバイパスの脆弱性、リモート攻撃による任意コード実行のリスクが発生

【CVE-2025-0411】7-ZipにMark-of-the-Webバイパスの脆弱性、リモ...

Zero Day Initiativeは2025年1月25日、7-ZipにMark-of-the-Web保護メカニズムをバイパスできる脆弱性を公開した。CVE-2025-0411として識別されるこの脆弱性は、圧縮ファイルの展開時にMark-of-the-Webが展開後のファイルに伝播されない問題であり、リモート攻撃者が細工された圧縮ファイルを通じて任意のコードを実行できる可能性がある。

【CVE-2025-0411】7-ZipにMark-of-the-Webバイパスの脆弱性、リモ...

Zero Day Initiativeは2025年1月25日、7-ZipにMark-of-the-Web保護メカニズムをバイパスできる脆弱性を公開した。CVE-2025-0411として識別されるこの脆弱性は、圧縮ファイルの展開時にMark-of-the-Webが展開後のファイルに伝播されない問題であり、リモート攻撃者が細工された圧縮ファイルを通じて任意のコードを実行できる可能性がある。

【CVE-2024-13512】Wonder FontAwesome 0.8に深刻な脆弱性、管理者権限での不正スクリプト実行が可能に

【CVE-2024-13512】Wonder FontAwesome 0.8に深刻な脆弱性、管...

WordPressプラグインのWonder FontAwesomeにおいて、バージョン0.8以前に深刻な脆弱性が発見された。この脆弱性は適切なnonce検証の欠如により、認証されていない攻撃者が管理者の操作を誘導することで設定を更新し、不正なスクリプトを実行可能となる。CVSSスコア6.1のミディアムレベルと評価され、早急な対策が求められている。

【CVE-2024-13512】Wonder FontAwesome 0.8に深刻な脆弱性、管...

WordPressプラグインのWonder FontAwesomeにおいて、バージョン0.8以前に深刻な脆弱性が発見された。この脆弱性は適切なnonce検証の欠如により、認証されていない攻撃者が管理者の操作を誘導することで設定を更新し、不正なスクリプトを実行可能となる。CVSSスコア6.1のミディアムレベルと評価され、早急な対策が求められている。

【CVE-2024-13652】WooCommerce用ECPayプラグインに認証回避の脆弱性、ログファイル削除機能に認可制御の不備

【CVE-2024-13652】WooCommerce用ECPayプラグインに認証回避の脆弱性...

WordPressのECサイト構築プラグインであるECPay Ecommerce for WooCommerceにおいて、ログファイル削除に関する認証回避の脆弱性が発見された。この脆弱性は【CVE-2024-13652】として識別され、バージョン1.1.2411060以前のすべてのバージョンに影響を及ぼす。clear_ecpay_debug_logというAJAXアクションに適切な権限チェックが実装されていないことが原因で、Subscriber権限以上のユーザーがログファイルを削除可能な状態となっている。

【CVE-2024-13652】WooCommerce用ECPayプラグインに認証回避の脆弱性...

WordPressのECサイト構築プラグインであるECPay Ecommerce for WooCommerceにおいて、ログファイル削除に関する認証回避の脆弱性が発見された。この脆弱性は【CVE-2024-13652】として識別され、バージョン1.1.2411060以前のすべてのバージョンに影響を及ぼす。clear_ecpay_debug_logというAJAXアクションに適切な権限チェックが実装されていないことが原因で、Subscriber権限以上のユーザーがログファイルを削除可能な状態となっている。

【CVE-2024-24906】WeGIAにSQLインジェクションの脆弱性が発見、バージョン3.2.12で修正完了

【CVE-2024-24906】WeGIAにSQLインジェクションの脆弱性が発見、バージョン3...

慈善団体向けウェブマネージャーWeGIAのget_detalhes_cobranca.phpエンドポイントにおいて、SQLインジェクションの脆弱性が発見された。CVSSスコア10.0のクリティカルな脆弱性として評価され、認証された攻撃者による任意のSQLクエリ実行が可能となる。開発元のLabRedesCefetRJはバージョン3.2.12で修正を実施し、全ユーザーに対して更新を推奨している。

【CVE-2024-24906】WeGIAにSQLインジェクションの脆弱性が発見、バージョン3...

慈善団体向けウェブマネージャーWeGIAのget_detalhes_cobranca.phpエンドポイントにおいて、SQLインジェクションの脆弱性が発見された。CVSSスコア10.0のクリティカルな脆弱性として評価され、認証された攻撃者による任意のSQLクエリ実行が可能となる。開発元のLabRedesCefetRJはバージョン3.2.12で修正を実施し、全ユーザーに対して更新を推奨している。

【CVE-2025-24902】WeGIAにSQL Injection脆弱性が発見、バージョン3.2.12で修正済み

【CVE-2025-24902】WeGIAにSQL Injection脆弱性が発見、バージョン...

慈善団体向けウェブマネージャーWeGIAのsalvar_cargo.phpエンドポイントにSQL Injection脆弱性が発見された。CVE-2025-24902として識別されるこの脆弱性は、CVSSスコア9.4のCritical評価で、認証済み攻撃者による任意のSQLクエリ実行を可能にする。開発元のLabRedesCefetRJは、バージョン3.2.12で修正を実施し、全ユーザーに更新を推奨している。

【CVE-2025-24902】WeGIAにSQL Injection脆弱性が発見、バージョン...

慈善団体向けウェブマネージャーWeGIAのsalvar_cargo.phpエンドポイントにSQL Injection脆弱性が発見された。CVE-2025-24902として識別されるこの脆弱性は、CVSSスコア9.4のCritical評価で、認証済み攻撃者による任意のSQLクエリ実行を可能にする。開発元のLabRedesCefetRJは、バージョン3.2.12で修正を実施し、全ユーザーに更新を推奨している。

【CVE-2025-24958】慈善団体向けWebマネージャーWeGIAでSQLインジェクションの脆弱性が発見、緊急のアップデートが必要に

【CVE-2025-24958】慈善団体向けWebマネージャーWeGIAでSQLインジェクショ...

GitHubセキュリティアドバイザリーは2025年2月3日、慈善団体向けWebマネージャーWeGIAにおいて重大なSQLインジェクションの脆弱性を公開した。この脆弱性はsalvar_tag.phpエンドポイントに存在し、認証された攻撃者による任意のSQLクエリ実行を可能にする。CVSSスコア9.4のCriticalな脆弱性として評価され、バージョン3.2.12未満のすべてのバージョンが影響を受ける。開発元は速やかなアップデートを推奨している。

【CVE-2025-24958】慈善団体向けWebマネージャーWeGIAでSQLインジェクショ...

GitHubセキュリティアドバイザリーは2025年2月3日、慈善団体向けWebマネージャーWeGIAにおいて重大なSQLインジェクションの脆弱性を公開した。この脆弱性はsalvar_tag.phpエンドポイントに存在し、認証された攻撃者による任意のSQLクエリ実行を可能にする。CVSSスコア9.4のCriticalな脆弱性として評価され、バージョン3.2.12未満のすべてのバージョンが影響を受ける。開発元は速やかなアップデートを推奨している。

【CVE-2025-24905】WeGIAにSQL Injection脆弱性が発見、慈善団体の情報漏洩リスクに早急な対応が必要

【CVE-2025-24905】WeGIAにSQL Injection脆弱性が発見、慈善団体の...

慈善団体向けWebマネージャーWeGIAのget_codigobarras_cobranca.phpエンドポイントにSQL Injection脆弱性が発見された。CVE-2025-24905として識別されるこの脆弱性は、CVSS v4.0で最高スコアの10.0(Critical)を記録。攻撃者による機密情報へのアクセスやデータ削除のリスクがあり、バージョン3.2.12で修正された。影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-24905】WeGIAにSQL Injection脆弱性が発見、慈善団体の...

慈善団体向けWebマネージャーWeGIAのget_codigobarras_cobranca.phpエンドポイントにSQL Injection脆弱性が発見された。CVE-2025-24905として識別されるこの脆弱性は、CVSS v4.0で最高スコアの10.0(Critical)を記録。攻撃者による機密情報へのアクセスやデータ削除のリスクがあり、バージョン3.2.12で修正された。影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-20885/20904】Samsung MobileがAndroidデバイスの脆弱性を修正、メモリ破損問題に対処

【CVE-2025-20885/20904】Samsung MobileがAndroidデバイ...

Samsung Mobileが2025年2月4日、Android 12、13、14デバイスに影響を与えるメモリ破損の脆弱性を公表した。softsim TAとmPOS TUI trustletにおけるバッファオーバーフローの問題に対し、2025年1月および2月のSMRリリース1で修正を実施。CVSSスコアは6.3から6.4のMedium評価で、特権を持つローカル攻撃者によるメモリ破損の可能性が指摘されている。

【CVE-2025-20885/20904】Samsung MobileがAndroidデバイ...

Samsung Mobileが2025年2月4日、Android 12、13、14デバイスに影響を与えるメモリ破損の脆弱性を公表した。softsim TAとmPOS TUI trustletにおけるバッファオーバーフローの問題に対し、2025年1月および2月のSMRリリース1で修正を実施。CVSSスコアは6.3から6.4のMedium評価で、特権を持つローカル攻撃者によるメモリ破損の可能性が指摘されている。

【CVE-2025-20885】Samsung Mobileのsoftsim TAにメモリ破損の脆弱性、SMR Jan-2025 Release 1で修正対応を実施

【CVE-2025-20885】Samsung Mobileのsoftsim TAにメモリ破損...

Samsung Mobileは2025年2月4日、同社のsoftsim TAに境界外書き込みの脆弱性【CVE-2025-20885】が存在することを公開した。この脆弱性はSMR Jan-2025 Release 1より前のバージョンに影響を与え、特権を持つローカル攻撃者によってメモリ破損を引き起こされる可能性がある。CVSSスコアは6.4(Medium)と評価されており、Android 12、13、14の一部デバイスが影響を受ける。

【CVE-2025-20885】Samsung Mobileのsoftsim TAにメモリ破損...

Samsung Mobileは2025年2月4日、同社のsoftsim TAに境界外書き込みの脆弱性【CVE-2025-20885】が存在することを公開した。この脆弱性はSMR Jan-2025 Release 1より前のバージョンに影響を与え、特権を持つローカル攻撃者によってメモリ破損を引き起こされる可能性がある。CVSSスコアは6.4(Medium)と評価されており、Android 12、13、14の一部デバイスが影響を受ける。

【CVE-2025-20905】Samsung MobileのmPOS TUI trustletに脆弱性、範囲外メモリアクセスの問題でセキュリティリスクが浮上

【CVE-2025-20905】Samsung MobileのmPOS TUI trustle...

Samsung Mobileは2025年2月4日、mPOS TUI trustletに重大な脆弱性【CVE-2025-20905】が発見されたことを公開した。SMR Feb-2025 Release 1より前のバージョンにおいて、ローカルの特権を持つ攻撃者が範囲外のメモリ領域の読み書きを行うことが可能となっている。CVSSスコアは6.3(MEDIUM)と評価され、Android 12、13、14を搭載しQualcommチップセットを使用するデバイスについては、2月のSMRリリースで修正済みだ。

【CVE-2025-20905】Samsung MobileのmPOS TUI trustle...

Samsung Mobileは2025年2月4日、mPOS TUI trustletに重大な脆弱性【CVE-2025-20905】が発見されたことを公開した。SMR Feb-2025 Release 1より前のバージョンにおいて、ローカルの特権を持つ攻撃者が範囲外のメモリ領域の読み書きを行うことが可能となっている。CVSSスコアは6.3(MEDIUM)と評価され、Android 12、13、14を搭載しQualcommチップセットを使用するデバイスについては、2月のSMRリリースで修正済みだ。

【CVE-2025-20891】Samsung Mobileデバイスにバッファオーバーリードの脆弱性、1月のアップデートで修正完了

【CVE-2025-20891】Samsung Mobileデバイスにバッファオーバーリードの...

Samsung Mobileは2025年2月4日、同社のモバイルデバイスの動画サムネイル処理に関連する脆弱性CVE-2025-20891を公開した。libsthmbc.soライブラリにおけるバッファオーバーリードの問題で、CVSSスコアは5.3(中)と評価。物理アクセスとユーザー操作が必要だが、特権なしで任意のメモリ読み取りが可能。2025年1月のSMRリリース1で修正済み。

【CVE-2025-20891】Samsung Mobileデバイスにバッファオーバーリードの...

Samsung Mobileは2025年2月4日、同社のモバイルデバイスの動画サムネイル処理に関連する脆弱性CVE-2025-20891を公開した。libsthmbc.soライブラリにおけるバッファオーバーリードの問題で、CVSSスコアは5.3(中)と評価。物理アクセスとユーザー操作が必要だが、特権なしで任意のメモリ読み取りが可能。2025年1月のSMRリリース1で修正済み。

【CVE-2025-20882】Samsung Mobile Devicesに重大な脆弱性、特権昇格のリスクでパッチ適用を推奨

【CVE-2025-20882】Samsung Mobile Devicesに重大な脆弱性、特...

Samsung Mobileは2025年2月4日、同社のモバイルデバイスにおいてlibsthmbc.soのsvc1tdコンポーネントに未初期化メモリへのアクセスによるOut-of-bounds write脆弱性が発見されたことを公開した。CVE-2025-20882として識別されるこの脆弱性は、CVSS v3.1で深刻度7.0のHigh評価を受けており、ローカルでの攻撃者による任意のコード実行と特権昇格のリスクが存在する。

【CVE-2025-20882】Samsung Mobile Devicesに重大な脆弱性、特...

Samsung Mobileは2025年2月4日、同社のモバイルデバイスにおいてlibsthmbc.soのsvc1tdコンポーネントに未初期化メモリへのアクセスによるOut-of-bounds write脆弱性が発見されたことを公開した。CVE-2025-20882として識別されるこの脆弱性は、CVSS v3.1で深刻度7.0のHigh評価を受けており、ローカルでの攻撃者による任意のコード実行と特権昇格のリスクが存在する。

【CVE-2025-20890】Samsung Mobile端末のlibsthmbc.soに脆弱性、特権昇格の危険性で修正アップデートの適用が必要に

【CVE-2025-20890】Samsung Mobile端末のlibsthmbc.soに脆...

Samsung Mobileは2025年2月4日、同社のモバイル端末で使用されているlibsthmbc.soにおいて、バッファフレームのデコード処理に関する重大な脆弱性を発見した。この脆弱性はCVSS v3.1で深刻度7.0のHIGHに分類され、特権のない状態での不正コード実行が可能となる。SMR Jan-2025 Release 1で修正が提供され、Android 12から14までの対象端末にアップデートが展開される。

【CVE-2025-20890】Samsung Mobile端末のlibsthmbc.soに脆...

Samsung Mobileは2025年2月4日、同社のモバイル端末で使用されているlibsthmbc.soにおいて、バッファフレームのデコード処理に関する重大な脆弱性を発見した。この脆弱性はCVSS v3.1で深刻度7.0のHIGHに分類され、特権のない状態での不正コード実行が可能となる。SMR Jan-2025 Release 1で修正が提供され、Android 12から14までの対象端末にアップデートが展開される。