Tech Insights

WordPressプラグインWP-CRM Systemの深刻な脆弱性CVE-2025-4762...

2025年5月22日

2025年5月7日、Patchstack OUはWordPressプラグインWP-CRM Systemのバージョン3.4.1以前におけるPHPオブジェクトインジェクションの脆弱性CVE-2025-47629を公開した。CVSSスコア7.2の高リスクと評価され、早急な対策が必要だ。Ngo Bui Truong Vu氏（Patchstack Alliance）が発見したこの脆弱性は、システムへの不正アクセスやデータ改ざんを招く可能性がある。最新バージョンへのアップデートが強く推奨される。

WordPressプラグインWP-CRM Systemの深刻な脆弱性CVE-2025-4762...

2025年5月22日

2025年5月7日、Patchstack OUはWordPressプラグインWP-CRM Systemのバージョン3.4.1以前におけるPHPオブジェクトインジェクションの脆弱性CVE-2025-47629を公開した。CVSSスコア7.2の高リスクと評価され、早急な対策が必要だ。Ngo Bui Truong Vu氏（Patchstack Alliance）が発見したこの脆弱性は、システムへの不正アクセスやデータ改ざんを招く可能性がある。最新バージョンへのアップデートが強く推奨される。

SendPulse Email Marketing Newsletter 2.1.6以前のXS...

2025年5月22日

WordPressプラグインSendPulse Email Marketing Newsletterのバージョン2.1.6以前において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-47547が発見された。この脆弱性により、悪意のあるスクリプトが実行され、ユーザーのセッション乗っ取りや個人情報窃取などのリスクがある。SendPulseは2.1.7以降で修正済みだが、迅速なアップデートが推奨される。

SendPulse Email Marketing Newsletter 2.1.6以前のXS...

2025年5月22日

WordPressプラグインSendPulse Email Marketing Newsletterのバージョン2.1.6以前において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-47547が発見された。この脆弱性により、悪意のあるスクリプトが実行され、ユーザーのセッション乗っ取りや個人情報窃取などのリスクがある。SendPulseは2.1.7以降で修正済みだが、迅速なアップデートが推奨される。

WordPress Contact Form 7プラグインの脆弱性CVE-2025-47626...

2025年5月22日

WordPressプラグインContact Form 7のSubmission DOM Trackingにおいて、Stored XSS脆弱性（CVE-2025-47626）が発見された。バージョン2.0以前が影響を受け、悪意のあるスクリプトの挿入による攻撃が可能となる。Patchstack OUは修正版2.0.3をリリースし、アップデートを推奨している。クロスサイトスクリプティング(XSS)攻撃への対策として、入力値の検証やエスケープ処理、セキュリティアップデートの徹底が重要だ。

WordPress Contact Form 7プラグインの脆弱性CVE-2025-47626...

2025年5月22日

WordPressプラグインContact Form 7のSubmission DOM Trackingにおいて、Stored XSS脆弱性（CVE-2025-47626）が発見された。バージョン2.0以前が影響を受け、悪意のあるスクリプトの挿入による攻撃が可能となる。Patchstack OUは修正版2.0.3をリリースし、アップデートを推奨している。クロスサイトスクリプティング(XSS)攻撃への対策として、入力値の検証やエスケープ処理、セキュリティアップデートの徹底が重要だ。

WordPressプラグインWbcom Designs Activity Link Previ...

2025年5月22日

2025年5月7日、Patchstack OUはWordPressプラグイン「Wbcom Designs - Activity Link Preview For BuddyPress」のバージョン1.4.4以前におけるSSRF(Server Side Request Forgery)脆弱性CVE-2025-47548を公開した。この脆弱性により、攻撃者はサーバーを介して任意のURLへのリクエストを送信できる可能性があるため、速やかなアップデートが求められる。CVSSスコアは5.4(MEDIUM)と評価されている。

WordPressプラグインWbcom Designs Activity Link Previ...

2025年5月22日

2025年5月7日、Patchstack OUはWordPressプラグイン「Wbcom Designs - Activity Link Preview For BuddyPress」のバージョン1.4.4以前におけるSSRF(Server Side Request Forgery)脆弱性CVE-2025-47548を公開した。この脆弱性により、攻撃者はサーバーを介して任意のURLへのリクエストを送信できる可能性があるため、速やかなアップデートが求められる。CVSSスコアは5.4(MEDIUM)と評価されている。

WordPressプラグインAwin ? Advertiser Tracking for Wo...

2025年5月22日

Patchstack OUは、WordPressプラグインAwin ? Advertiser Tracking for WooCommerceのバージョン2.0.0以前におけるCSRF脆弱性CVE-2025-47633を公開した。この脆弱性により、製品フィードの再生成が不正に実行される可能性がある。開発元Awinは修正版2.0.3をリリースしており、ユーザーは速やかなアップデートが必要だ。CSRF攻撃への対策、セキュリティアップデートの重要性を再認識する必要がある。

WordPressプラグインAwin ? Advertiser Tracking for Wo...

2025年5月22日

Patchstack OUは、WordPressプラグインAwin ? Advertiser Tracking for WooCommerceのバージョン2.0.0以前におけるCSRF脆弱性CVE-2025-47633を公開した。この脆弱性により、製品フィードの再生成が不正に実行される可能性がある。開発元Awinは修正版2.0.3をリリースしており、ユーザーは速やかなアップデートが必要だ。CSRF攻撃への対策、セキュリティアップデートの重要性を再認識する必要がある。

TOTOLINK A950RGの脆弱性CVE-2025-45798が公開、コマンドインジェクシ...

2025年5月22日

MITRE Corporationは2025年5月8日、TOTOLINK A950RG V4.1.2cu.5204_B20210112におけるコマンドインジェクションの脆弱性CVE-2025-45798を公開した。setNoticeCfgインターフェースのIpToパラメータ処理に脆弱性が存在し、攻撃者はデバイス上でコマンドを実行できる可能性がある。CVSSスコアは6.5で、迅速な対策が必要だ。

TOTOLINK A950RGの脆弱性CVE-2025-45798が公開、コマンドインジェクシ...

2025年5月22日

MITRE Corporationは2025年5月8日、TOTOLINK A950RG V4.1.2cu.5204_B20210112におけるコマンドインジェクションの脆弱性CVE-2025-45798を公開した。setNoticeCfgインターフェースのIpToパラメータ処理に脆弱性が存在し、攻撃者はデバイス上でコマンドを実行できる可能性がある。CVSSスコアは6.5で、迅速な対策が必要だ。

Adobe Substance3D Stagerの脆弱性CVE-2025-43551が公開、迅...

2025年5月22日

Adobe Systems Incorporatedは、Substance3D Stager 3.1.1以前のバージョンにおいて、境界外読み取り(CWE-125)の脆弱性CVE-2025-43551を発見したと発表した。この脆弱性により、悪意のあるファイルを開いた場合、機密データの漏洩リスクがある。ユーザーは速やかに最新バージョンにアップデートする必要がある。深刻度はMEDIUM(CVSSスコア5.5)と評価されている。

Adobe Substance3D Stagerの脆弱性CVE-2025-43551が公開、迅...

2025年5月22日

Adobe Systems Incorporatedは、Substance3D Stager 3.1.1以前のバージョンにおいて、境界外読み取り(CWE-125)の脆弱性CVE-2025-43551を発見したと発表した。この脆弱性により、悪意のあるファイルを開いた場合、機密データの漏洩リスクがある。ユーザーは速やかに最新バージョンにアップデートする必要がある。深刻度はMEDIUM(CVSSスコア5.5)と評価されている。

SourceCodester Online Student Clearance System ...

2025年5月22日

SourceCodester Online Student Clearance System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4467が発見された。VulDBによると、edit-admin.phpファイルの引数操作が原因で、リモートからの攻撃が可能。CVSSスコアは6.9～7.5と高く、迅速な対応が求められる。ユーザーはVulDBの情報を参照し、適切な対策を講じるべきだ。

SourceCodester Online Student Clearance System ...

2025年5月22日

SourceCodester Online Student Clearance System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4467が発見された。VulDBによると、edit-admin.phpファイルの引数操作が原因で、リモートからの攻撃が可能。CVSSスコアは6.9～7.5と高く、迅速な対応が求められる。ユーザーはVulDBの情報を参照し、適切な対策を講じるべきだ。

SourceCodester Online Student Clearance System ...

2025年5月22日

SourceCodester Online Student Clearance System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4331が発見された。Admin/login.phpファイルのid/username/password引数の操作が原因で、リモートからの攻撃が可能だ。CVSSスコアは7.3(HIGH)と評価されており、データ漏洩やシステム破壊などの深刻な被害につながる可能性がある。ユーザーは速やかにシステムのアップデートを行う必要がある。VulDBにもVDB-307432として登録されている。

SourceCodester Online Student Clearance System ...

2025年5月22日

SourceCodester Online Student Clearance System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4331が発見された。Admin/login.phpファイルのid/username/password引数の操作が原因で、リモートからの攻撃が可能だ。CVSSスコアは7.3(HIGH)と評価されており、データ漏洩やシステム破壊などの深刻な被害につながる可能性がある。ユーザーは速やかにシステムのアップデートを行う必要がある。VulDBにもVDB-307432として登録されている。

SonicWALL SMA100の脆弱性CVE-2025-32821が公開、迅速なアップデートが必要

2025年5月22日

SonicWALL社は、SMA100における深刻なセキュリティ脆弱性CVE-2025-32821を2025年5月7日に公開した。リモート認証済み攻撃者がシェルコマンドを注入し、ファイルをアップロードできる脆弱性で、10.2.1.14-75sv以前のバージョンが影響を受ける。CVSSスコアは7.1（HIGH）と評価されており、速やかなアップデートが強く推奨される。SonicWALL PSIRTからの情報も参照のこと。

SonicWALL SMA100の脆弱性CVE-2025-32821が公開、迅速なアップデートが必要

2025年5月22日

SonicWALL社は、SMA100における深刻なセキュリティ脆弱性CVE-2025-32821を2025年5月7日に公開した。リモート認証済み攻撃者がシェルコマンドを注入し、ファイルをアップロードできる脆弱性で、10.2.1.14-75sv以前のバージョンが影響を受ける。CVSSスコアは7.1（HIGH）と評価されており、速やかなアップデートが強く推奨される。SonicWALL PSIRTからの情報も参照のこと。

SonicWALL SMA100の脆弱性CVE-2025-32820が公開、パス・トラバーサル...

2025年5月22日

SonicWALL社は2025年5月7日、ネットワーク機器SMA100における深刻な脆弱性CVE-2025-32820を公開した。認証済みのリモート攻撃者が、任意のディレクトリに書き込みできるため、システムファイル改ざんによる深刻なセキュリティリスクとなる。10.2.1.14-75sv以前のバージョンが影響を受け、迅速なアップデートが求められる。

SonicWALL SMA100の脆弱性CVE-2025-32820が公開、パス・トラバーサル...

2025年5月22日

SonicWALL社は2025年5月7日、ネットワーク機器SMA100における深刻な脆弱性CVE-2025-32820を公開した。認証済みのリモート攻撃者が、任意のディレクトリに書き込みできるため、システムファイル改ざんによる深刻なセキュリティリスクとなる。10.2.1.14-75sv以前のバージョンが影響を受け、迅速なアップデートが求められる。

SonicWALL SMA100の脆弱性CVE-2025-32819が公開、任意ファイル削除と...

2025年5月22日

SonicWALL社は、SMA100における深刻な脆弱性CVE-2025-32819を公開した。認証済みのリモート攻撃者がパス・トラバーサルチェックをバイパスし、任意のファイルを削除できる。工場出荷時の設定へのリブートも引き起こす可能性があり、CVSSスコアは8.8（HIGH）と評価されている。10.2.1.14-75sv以前のバージョンが影響を受ける。迅速なパッチ適用が強く推奨される。

SonicWALL SMA100の脆弱性CVE-2025-32819が公開、任意ファイル削除と...

2025年5月22日

SonicWALL社は、SMA100における深刻な脆弱性CVE-2025-32819を公開した。認証済みのリモート攻撃者がパス・トラバーサルチェックをバイパスし、任意のファイルを削除できる。工場出荷時の設定へのリブートも引き起こす可能性があり、CVSSスコアは8.8（HIGH）と評価されている。10.2.1.14-75sv以前のバージョンが影響を受ける。迅速なパッチ適用が強く推奨される。

PHPGurukul Auto Taxi Stand Management System 1....

2025年5月22日

2025年5月19日、PHPGurukul Auto Taxi Stand Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4917がVulDBにより公開された。admin/new-autoortaxi-entry-form.phpファイルのdrivername引数を悪用したリモート攻撃が可能で、CVSSスコアは6.9から7.5と評価されている。迅速なアップデートまたは対策が強く推奨される。

PHPGurukul Auto Taxi Stand Management System 1....

2025年5月22日

2025年5月19日、PHPGurukul Auto Taxi Stand Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4917がVulDBにより公開された。admin/new-autoortaxi-entry-form.phpファイルのdrivername引数を悪用したリモート攻撃が可能で、CVSSスコアは6.9から7.5と評価されている。迅速なアップデートまたは対策が強く推奨される。

PHPGurukul Auto Taxi Stand Management System 1....

2025年5月22日

2025年5月19日、PHPGurukul Auto Taxi Stand Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4916がVulDBにより公開された。`admin-profile.php`ファイルの`mobilenumber`引数の操作が攻撃経路となる。リモートからの攻撃が可能で、システムへの不正アクセスやデータ改ざんのリスクがあるため、迅速なアップデートまたは対策が求められる。

PHPGurukul Auto Taxi Stand Management System 1....

2025年5月22日

2025年5月19日、PHPGurukul Auto Taxi Stand Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4916がVulDBにより公開された。`admin-profile.php`ファイルの`mobilenumber`引数の操作が攻撃経路となる。リモートからの攻撃が可能で、システムへの不正アクセスやデータ改ざんのリスクがあるため、迅速なアップデートまたは対策が求められる。

デジタルアーツ、ゼロトラストセキュリティ製品「Z-FILTER」今秋リリース

2025年5月22日

デジタルアーツは、独自の「ホワイト運用R」による安全で簡単な導入・運用を実現するゼロトラストセキュリティ製品「Z-FILTER」を今秋リリースする。SWGとCFWを統合し、VPNの脆弱性問題も解決する。シンプルな構成と分かりやすい料金体系で、中小企業にも導入しやすい。

デジタルアーツ、ゼロトラストセキュリティ製品「Z-FILTER」今秋リリース

2025年5月22日

デジタルアーツは、独自の「ホワイト運用R」による安全で簡単な導入・運用を実現するゼロトラストセキュリティ製品「Z-FILTER」を今秋リリースする。SWGとCFWを統合し、VPNの脆弱性問題も解決する。シンプルな構成と分かりやすい料金体系で、中小企業にも導入しやすい。

エニワン株式会社、建設現場向けExcelテンプレート12種を無料提供開始、業務効率化支援

2025年5月20日

エニワン株式会社は2025年5月、建設現場の業務効率化を支援するため、工事現場で頻用されるExcelテンプレート12種（発注書、見積書、日報など）を無料で提供開始した。Microsoft Excel形式で自由に編集可能で、元ゼネコン現場監督の監修による高品質なテンプレートだ。ダウンロードは公式ウェブサイトから可能である。

エニワン株式会社、建設現場向けExcelテンプレート12種を無料提供開始、業務効率化支援

2025年5月20日

エニワン株式会社は2025年5月、建設現場の業務効率化を支援するため、工事現場で頻用されるExcelテンプレート12種（発注書、見積書、日報など）を無料で提供開始した。Microsoft Excel形式で自由に編集可能で、元ゼネコン現場監督の監修による高品質なテンプレートだ。ダウンロードは公式ウェブサイトから可能である。

code-projects Departmental Store Management Sys...

2025年5月20日

code-projects Departmental Store Management System 1.0において、bill関数でスタックベースのバッファオーバーフロー脆弱性CVE-2025-4472が発見された。CVSSスコアは4.8(MEDIUM)で、ローカルホストからの攻撃が可能。既に公開されており、迅速な対応が必要だ。VulDBにて詳細情報が公開されている。

code-projects Departmental Store Management Sys...

2025年5月20日

code-projects Departmental Store Management System 1.0において、bill関数でスタックベースのバッファオーバーフロー脆弱性CVE-2025-4472が発見された。CVSSスコアは4.8(MEDIUM)で、ローカルホストからの攻撃が可能。既に公開されており、迅速な対応が必要だ。VulDBにて詳細情報が公開されている。

code-projects Hotel Management System 1.0の深刻な脆弱...

2025年5月20日

VulDBは2025年5月10日、code-projects Hotel Management System 1.0における深刻な脆弱性CVE-2025-4500を公開した。Edit RoomコンポーネントのEdit関数に存在するこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす。攻撃はローカルから可能で、悪用コードも公開されているため、迅速な対応が必要だ。CVSSスコアは4.8（高）と評価されており、システムクラッシュやデータ改ざん、遠隔コード実行などのリスクがある。

code-projects Hotel Management System 1.0の深刻な脆弱...

2025年5月20日

VulDBは2025年5月10日、code-projects Hotel Management System 1.0における深刻な脆弱性CVE-2025-4500を公開した。Edit RoomコンポーネントのEdit関数に存在するこの脆弱性は、スタックベースのバッファオーバーフローを引き起こす。攻撃はローカルから可能で、悪用コードも公開されているため、迅速な対応が必要だ。CVSSスコアは4.8（高）と評価されており、システムクラッシュやデータ改ざん、遠隔コード実行などのリスクがある。

code-projects Patient Record Management System ...

2025年5月20日

2025年5月9日、VulDBはcode-projects Patient Record Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4458を公開した。edit_upatient.phpファイルのID引数の操作が攻撃経路となり、リモートからSQLインジェクションを実行可能。データベースへの不正アクセスやデータ改ざんのリスクが高いため、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

code-projects Patient Record Management System ...

2025年5月20日

2025年5月9日、VulDBはcode-projects Patient Record Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4458を公開した。edit_upatient.phpファイルのID引数の操作が攻撃経路となり、リモートからSQLインジェクションを実行可能。データベースへの不正アクセスやデータ改ざんのリスクが高いため、迅速な対応が必要だ。VulDBのウェブサイトで詳細を確認できる。

code-projects Patient Record Management System ...

2025年5月20日

2025年5月9日、VulDBはcode-projects Patient Record Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4459を公開した。fecalysis_form.phpファイルのitr_no引数の操作が攻撃ベクトルとなり、リモートからSQLインジェクションを実行可能。データベースへの不正アクセスやデータ改ざんのリスクが高いため、迅速な修正パッチ適用が求められる。VulDBのウェブサイトで詳細を確認できる。

code-projects Patient Record Management System ...

2025年5月20日

2025年5月9日、VulDBはcode-projects Patient Record Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4459を公開した。fecalysis_form.phpファイルのitr_no引数の操作が攻撃ベクトルとなり、リモートからSQLインジェクションを実行可能。データベースへの不正アクセスやデータ改ざんのリスクが高いため、迅速な修正パッチ適用が求められる。VulDBのウェブサイトで詳細を確認できる。

Dell PowerScale OneFSのセキュリティアップデート公開、CVE-2025-3...

2025年5月20日

Dell EMCは2025年5月8日、Dell PowerScale OneFSバージョン9.8.0.0～9.10.1.0におけるTOCTOU脆弱性CVE-2025-30101を含む複数のセキュリティ脆弱性を修正するアップデートを公開した。サービス拒否や情報改ざんの可能性があるため、迅速なアップデート適用が推奨される。Dellサポートサイトで詳細を確認できる。

Dell PowerScale OneFSのセキュリティアップデート公開、CVE-2025-3...

2025年5月20日

Dell EMCは2025年5月8日、Dell PowerScale OneFSバージョン9.8.0.0～9.10.1.0におけるTOCTOU脆弱性CVE-2025-30101を含む複数のセキュリティ脆弱性を修正するアップデートを公開した。サービス拒否や情報改ざんの可能性があるため、迅速なアップデート適用が推奨される。Dellサポートサイトで詳細を確認できる。

Google Chromeのセキュリティ脆弱性CVE-2025-4664が公開、クロスオリジン...

2025年5月20日

Googleは2025年5月14日、Google ChromeのLoaderにおけるポリシーの不十分さに関するセキュリティ脆弱性CVE-2025-4664を公開した。この脆弱性により、リモートの攻撃者がクロスオリジンデータの漏洩を引き起こす可能性があった。Google Chrome 136.0.7103.113以前のバージョンが影響を受け、ユーザーは速やかに最新バージョンへのアップデートを行う必要がある。この脆弱性は、攻撃者がユーザーのブラウザから機密情報を盗み出す可能性があるため、深刻なセキュリティリスクとなる。

Google Chromeのセキュリティ脆弱性CVE-2025-4664が公開、クロスオリジン...

2025年5月20日

Googleは2025年5月14日、Google ChromeのLoaderにおけるポリシーの不十分さに関するセキュリティ脆弱性CVE-2025-4664を公開した。この脆弱性により、リモートの攻撃者がクロスオリジンデータの漏洩を引き起こす可能性があった。Google Chrome 136.0.7103.113以前のバージョンが影響を受け、ユーザーは速やかに最新バージョンへのアップデートを行う必要がある。この脆弱性は、攻撃者がユーザーのブラウザから機密情報を盗み出す可能性があるため、深刻なセキュリティリスクとなる。

itsourcecode Gym Management System 1.0のSQLインジェクション脆弱性CVE-2025-4195が公開