Tech Insights

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェク...

JFinalOAのv2025.01.01未満のバージョンにSQLインジェクションの脆弱性が発見された。借入金管理機能のユーザーデータ処理に関連するコンポーネントで確認されたこの脆弱性は、CVE-2024-57769として識別され、CVSSスコア8.8のHIGHレベルと評価されている。攻撃者がネットワーク経由で低い権限レベルでシステムに侵入できる可能性があり、早急な対応が求められている。

【CVE-2024-57769】JFinalOA v2025.01.01未満にSQLインジェク...

JFinalOAのv2025.01.01未満のバージョンにSQLインジェクションの脆弱性が発見された。借入金管理機能のユーザーデータ処理に関連するコンポーネントで確認されたこの脆弱性は、CVE-2024-57769として識別され、CVSSスコア8.8のHIGHレベルと評価されている。攻撃者がネットワーク経由で低い権限レベルでシステムに侵入できる可能性があり、早急な対応が求められている。

【CVE-2024-57583】Tenda AC18 V15.03.05.19にコマンドインジェクションの脆弱性、不正なコマンド実行のリスクが浮上

【CVE-2024-57583】Tenda AC18 V15.03.05.19にコマンドインジ...

MITREは2025年1月16日、Tenda AC18 V15.03.05.19のformSetSambaConf関数のusbNameパラメータにコマンドインジェクションの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-57583】として識別され、攻撃者による不正なコマンド実行やシステム制御の奪取につながる可能性があり、早急な対応が求められている。

【CVE-2024-57583】Tenda AC18 V15.03.05.19にコマンドインジ...

MITREは2025年1月16日、Tenda AC18 V15.03.05.19のformSetSambaConf関数のusbNameパラメータにコマンドインジェクションの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-57583】として識別され、攻撃者による不正なコマンド実行やシステム制御の奪取につながる可能性があり、早急な対応が求められている。

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkReportの編集機能に深刻な問題

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkR...

MITRE Corporationは2025年1月16日、07FLYCMS V1.3.9の/erp.07fly.net:80/oa/OaWorkReport/edit.htmlにおいてCross-Site Request Forgery(CSRF)の脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-57161として識別され、正規ユーザーの権限を悪用した不正操作が可能となる可能性が指摘されている。開発者やセキュリティ担当者による対策の検討が進められている。

【CVE-2024-57161】07FLYCMS V1.3.9にCSRF脆弱性、OaWorkR...

MITRE Corporationは2025年1月16日、07FLYCMS V1.3.9の/erp.07fly.net:80/oa/OaWorkReport/edit.htmlにおいてCross-Site Request Forgery(CSRF)の脆弱性が発見されたことを公開した。この脆弱性はCVE-2024-57161として識別され、正規ユーザーの権限を悪用した不正操作が可能となる可能性が指摘されている。開発者やセキュリティ担当者による対策の検討が進められている。

【CVE-2024-57160】07FLYCMS V1.3.9にCSRF脆弱性が発見、企業システムのセキュリティに警鐘

【CVE-2024-57160】07FLYCMS V1.3.9にCSRF脆弱性が発見、企業シス...

MITREは2025年1月16日、07FLYCMS V1.3.9においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見されたことを発表した。この脆弱性は/erp.07fly.net:80/oa/OaTask/edit.htmlに存在することが確認されており、企業のOAシステムセキュリティに深刻な影響を及ぼす可能性がある。開発チームは現在、修正版のリリースに向けて対応を進めている。

【CVE-2024-57160】07FLYCMS V1.3.9にCSRF脆弱性が発見、企業シス...

MITREは2025年1月16日、07FLYCMS V1.3.9においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見されたことを発表した。この脆弱性は/erp.07fly.net:80/oa/OaTask/edit.htmlに存在することが確認されており、企業のOAシステムセキュリティに深刻な影響を及ぼす可能性がある。開発チームは現在、修正版のリリースに向けて対応を進めている。

Node.jsが複数バージョンでセキュリティアップデートを公開、高中程度の3つの脆弱性に対処

Node.jsが複数バージョンでセキュリティアップデートを公開、高中程度の3つの脆弱性に対処

Node.jsプロジェクトは2025年1月21日、v23.6.1、v22.13.1、v20.18.2、v18.20.6の各バージョンでセキュリティアップデートを公開した。Worker permission bypass、Path traversal、HTTP/2 GOAWAYフレームに関する脆弱性が修正され、EOLバージョンへのCVE番号付与も開始された。undiciライブラリの更新も含まれており、包括的なセキュリティ対策が実施されている。

Node.jsが複数バージョンでセキュリティアップデートを公開、高中程度の3つの脆弱性に対処

Node.jsプロジェクトは2025年1月21日、v23.6.1、v22.13.1、v20.18.2、v18.20.6の各バージョンでセキュリティアップデートを公開した。Worker permission bypass、Path traversal、HTTP/2 GOAWAYフレームに関する脆弱性が修正され、EOLバージョンへのCVE番号付与も開始された。undiciライブラリの更新も含まれており、包括的なセキュリティ対策が実施されている。

GoogleがChrome安定チャネルをアップデート、V8エンジンの重要な脆弱性に対処してセキュリティを強化

GoogleがChrome安定チャネルをアップデート、V8エンジンの重要な脆弱性に対処してセキ...

米Googleは2025年1月22日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv132.0.6834.110/111、Linux環境にv132.0.6834.110を展開。V8エンジンにおける深刻度「High」の脆弱性2件を含む計3件のセキュリティ修正を実施。セキュリティ研究者との協力により、早期発見・修正の体制を強化している。

GoogleがChrome安定チャネルをアップデート、V8エンジンの重要な脆弱性に対処してセキ...

米Googleは2025年1月22日、デスクトップ向けGoogle Chromeの安定チャネルをアップデートし、Windows/Mac環境にv132.0.6834.110/111、Linux環境にv132.0.6834.110を展開。V8エンジンにおける深刻度「High」の脆弱性2件を含む計3件のセキュリティ修正を実施。セキュリティ研究者との協力により、早期発見・修正の体制を強化している。

サンリオエンターテイメントで不正アクセスによるネットワークトラブルが発生、ピューロランド公式サイトの一部機能が停止

サンリオエンターテイメントで不正アクセスによるネットワークトラブルが発生、ピューロランド公式サ...

サンリオエンターテイメントは2025年1月22日、同社ネットワークへの不正アクセスを発表した。1月21日に発覚した不正アクセスにより、サンリオピューロランドの公式サイトマイページや来場予約、eパスポートチケット購入などのサービスが停止。個人情報流出の可能性について調査中で、1月31日までは新規来場予約を制限している。

サンリオエンターテイメントで不正アクセスによるネットワークトラブルが発生、ピューロランド公式サ...

サンリオエンターテイメントは2025年1月22日、同社ネットワークへの不正アクセスを発表した。1月21日に発覚した不正アクセスにより、サンリオピューロランドの公式サイトマイページや来場予約、eパスポートチケット購入などのサービスが停止。個人情報流出の可能性について調査中で、1月31日までは新規来場予約を制限している。

CTCとCequenceが国内初の販売代理店契約を締結、APIセキュリティプラットフォームの提供でセキュアな環境構築を支援

CTCとCequenceが国内初の販売代理店契約を締結、APIセキュリティプラットフォームの提...

伊藤忠テクノソリューションズ株式会社はAPIセキュリティソリューションを展開する米Cequence Securityと国内初の販売代理店契約を締結。APIの可視化や監視、脅威への防御を行うAPIセキュリティプラットフォームと、Managed API Securityアセスメントサービスの提供を開始。通信事業や金融業、官公庁を中心に展開し、3年間で5億円の売上を目指す。

CTCとCequenceが国内初の販売代理店契約を締結、APIセキュリティプラットフォームの提...

伊藤忠テクノソリューションズ株式会社はAPIセキュリティソリューションを展開する米Cequence Securityと国内初の販売代理店契約を締結。APIの可視化や監視、脅威への防御を行うAPIセキュリティプラットフォームと、Managed API Securityアセスメントサービスの提供を開始。通信事業や金融業、官公庁を中心に展開し、3年間で5億円の売上を目指す。

サイバーコマンドが生成AI向け脆弱性診断サービスを開始、LLM特有のセキュリティリスク対策が可能に

サイバーコマンドが生成AI向け脆弱性診断サービスを開始、LLM特有のセキュリティリスク対策が可能に

サイバーコマンド株式会社は2025年1月22日、生成AI技術を活用したアプリケーションを対象とする脆弱性診断サービスの提供を開始した。OWASP Top 10 for LLMを参考にした診断基準を採用し、未知の脆弱性発見実績を持つホワイトハッカーチームが対応する。データ漏洩やプロンプトインジェクション、ジェイルブレイクといった生成AI特有のリスクに加え、既存のアプリケーションセキュリティの課題にも対応が可能だ。

サイバーコマンドが生成AI向け脆弱性診断サービスを開始、LLM特有のセキュリティリスク対策が可能に

サイバーコマンド株式会社は2025年1月22日、生成AI技術を活用したアプリケーションを対象とする脆弱性診断サービスの提供を開始した。OWASP Top 10 for LLMを参考にした診断基準を採用し、未知の脆弱性発見実績を持つホワイトハッカーチームが対応する。データ漏洩やプロンプトインジェクション、ジェイルブレイクといった生成AI特有のリスクに加え、既存のアプリケーションセキュリティの課題にも対応が可能だ。

【CVE-2024-56252】WordPressプラグインEnter Addonsに深刻な脆弱性、クロスサイトスクリプティング攻撃のリスクが浮上

【CVE-2024-56252】WordPressプラグインEnter Addonsに深刻な脆...

ThemeLooks社のWordPressプラグインEnter Addonsにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-56252】として識別され、バージョン2.1.9以前に影響を与える。CVSSスコア6.5の中程度の深刻度と評価されており、バージョン2.2.1で修正された。影響を受ける可能性のあるユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-56252】WordPressプラグインEnter Addonsに深刻な脆...

ThemeLooks社のWordPressプラグインEnter Addonsにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-56252】として識別され、バージョン2.1.9以前に影響を与える。CVSSスコア6.5の中程度の深刻度と評価されており、バージョン2.2.1で修正された。影響を受ける可能性のあるユーザーは最新バージョンへのアップデートが推奨される。

【CVE-2024-56254】Move Addons for Elementor 1.3.6でクロスサイトスクリプティングの脆弱性が発見、アップデートによる対応が必要に

【CVE-2024-56254】Move Addons for Elementor 1.3.6...

WordPressプラグインMove Addons for Elementorにおいて、バージョン1.3.6以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-56254として識別されたこの脆弱性は、CVSS 3.1で6.5(MEDIUM)と評価され、Webページ生成時の入力の不適切な無害化に起因する。バージョン1.3.7で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-56254】Move Addons for Elementor 1.3.6...

WordPressプラグインMove Addons for Elementorにおいて、バージョン1.3.6以前に影響を与えるクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-56254として識別されたこの脆弱性は、CVSS 3.1で6.5(MEDIUM)と評価され、Webページ生成時の入力の不適切な無害化に起因する。バージョン1.3.7で修正済みのため、早急なアップデートが推奨される。

【CVE-2024-11157】Rockwell Automation Arenaに重大な脆弱性、メモリ境界外書き込みによる任意コード実行の危険性が浮上

【CVE-2024-11157】Rockwell Automation Arenaに重大な脆弱...

Rockwell AutomationのArenaに重大な脆弱性が発見され、DOEファイルを介したメモリ境界外書き込みにより任意のコード実行が可能となる危険性が報告された。CVSSスコア8.5のハイリスクとして評価され、Arena 16.20.06以前の全バージョンが影響を受ける。正規ユーザーによる悪意のあるコードの実行が必要だが、機密性・整合性・可用性全てに高い影響を及ぼす可能性がある。

【CVE-2024-11157】Rockwell Automation Arenaに重大な脆弱...

Rockwell AutomationのArenaに重大な脆弱性が発見され、DOEファイルを介したメモリ境界外書き込みにより任意のコード実行が可能となる危険性が報告された。CVSSスコア8.5のハイリスクとして評価され、Arena 16.20.06以前の全バージョンが影響を受ける。正規ユーザーによる悪意のあるコードの実行が必要だが、機密性・整合性・可用性全てに高い影響を及ぼす可能性がある。

【CVE-2024-11364】Rockwell Automation Arena®に未初期化変数の脆弱性、任意のコード実行が可能に

【CVE-2024-11364】Rockwell Automation Arena®に未初期化...

Rockwell Automationは2024年12月19日、シミュレーションソフトウェアArena®の未初期化変数に関する脆弱性を発表した。CVSSスコア8.5の高リスク脆弱性で、32ビット版のバージョン16.20.06以前が影響を受ける。攻撃者は悪意のあるDOEファイルを通じて任意のコード実行が可能だが、正規ユーザーの操作が必要となる。

【CVE-2024-11364】Rockwell Automation Arena®に未初期化...

Rockwell Automationは2024年12月19日、シミュレーションソフトウェアArena®の未初期化変数に関する脆弱性を発表した。CVSSスコア8.5の高リスク脆弱性で、32ビット版のバージョン16.20.06以前が影響を受ける。攻撃者は悪意のあるDOEファイルを通じて任意のコード実行が可能だが、正規ユーザーの操作が必要となる。

【CVE-2024-57887】Linux kernelのDRMドライバーにuse-after-free脆弱性、複数バージョンに影響が判明

【CVE-2024-57887】Linux kernelのDRMドライバーにuse-after...

Linux kernelのDRMドライバーにおいて、adv7511ドライバーのadv7533_attach_dsi()関数にuse-after-free脆弱性が発見された。この脆弱性は【CVE-2024-57887】として2025年1月15日に公開され、Linux 4.8から6.1.125までの複数バージョンに影響を及ぼすことが判明。開発チームは既に修正パッチを提供し、システムの安定性とセキュリティの確保に努めている。

【CVE-2024-57887】Linux kernelのDRMドライバーにuse-after...

Linux kernelのDRMドライバーにおいて、adv7511ドライバーのadv7533_attach_dsi()関数にuse-after-free脆弱性が発見された。この脆弱性は【CVE-2024-57887】として2025年1月15日に公開され、Linux 4.8から6.1.125までの複数バージョンに影響を及ぼすことが判明。開発チームは既に修正パッチを提供し、システムの安定性とセキュリティの確保に努めている。

【CVE-2024-57801】Linux kernelでvport repの脆弱性を修正、use-after-free問題の解消でシステム安全性が向上

【CVE-2024-57801】Linux kernelでvport repの脆弱性を修正、u...

Linux kernelの開発チームが2025年1月15日、net/mlx5eコンポーネントのvport rep機能における重大な脆弱性の修正を発表した。この脆弱性は【CVE-2024-57801】として識別され、ドライバのアンロード時にuse-after-free問題を引き起こす可能性があった。Linux 6.6を含む複数のバージョンに影響を与える重要な更新となり、システムの安全性向上に大きく貢献している。

【CVE-2024-57801】Linux kernelでvport repの脆弱性を修正、u...

Linux kernelの開発チームが2025年1月15日、net/mlx5eコンポーネントのvport rep機能における重大な脆弱性の修正を発表した。この脆弱性は【CVE-2024-57801】として識別され、ドライバのアンロード時にuse-after-free問題を引き起こす可能性があった。Linux 6.6を含む複数のバージョンに影響を与える重要な更新となり、システムの安全性向上に大きく貢献している。

【CVE-2024-57802】Linuxカーネルのnetromモジュールにバッファ長チェック不備、未初期化値読み取りの脆弱性が発覚

【CVE-2024-57802】Linuxカーネルのnetromモジュールにバッファ長チェック...

kernel.orgは2025年1月15日、Linuxカーネルのnetromモジュールにおいてバッファ長のチェックが不十分である脆弱性を公開した。CVE-2024-57802として識別されたこの問題は、ieee802154実装を介したraw message送信時にax25cmpで未初期化値が読み取られる可能性がある。Linux Verification Centerによって発見され、バッファ長を適切にチェックする修正が実施された。

【CVE-2024-57802】Linuxカーネルのnetromモジュールにバッファ長チェック...

kernel.orgは2025年1月15日、Linuxカーネルのnetromモジュールにおいてバッファ長のチェックが不十分である脆弱性を公開した。CVE-2024-57802として識別されたこの問題は、ieee802154実装を介したraw message送信時にax25cmpで未初期化値が読み取られる可能性がある。Linux Verification Centerによって発見され、バッファ長を適切にチェックする修正が実施された。

【CVE-2024-57841】Linuxカーネルでtcp_conn_requestのメモリリーク脆弱性が発見、複数バージョンのアップデートで対応へ

【CVE-2024-57841】Linuxカーネルでtcp_conn_requestのメモリリ...

kernel.orgは2025年1月15日、LinuxカーネルのTCPコネクション処理におけるメモリリークの脆弱性を公開した。tcp_conn_request()関数でinet_csk_reqsk_queue_hash_add()がfalseを返した際、af_ops->route_reqで割り当てられたdstメモリが解放されない問題が発見された。この脆弱性はCVE-2024-57841として識別され、Linux 5.15から6.1の一部バージョンに影響する。修正パッチは複数リリースされ、システム管理者は該当バージョンへの更新が推奨される。

【CVE-2024-57841】Linuxカーネルでtcp_conn_requestのメモリリ...

kernel.orgは2025年1月15日、LinuxカーネルのTCPコネクション処理におけるメモリリークの脆弱性を公開した。tcp_conn_request()関数でinet_csk_reqsk_queue_hash_add()がfalseを返した際、af_ops->route_reqで割り当てられたdstメモリが解放されない問題が発見された。この脆弱性はCVE-2024-57841として識別され、Linux 5.15から6.1の一部バージョンに影響する。修正パッチは複数リリースされ、システム管理者は該当バージョンへの更新が推奨される。

【CVE-2024-52534】Dell ECS 3.8.1.3未満に認証回避の脆弱性、キャプチャリプレイ攻撃によるセッション情報窃取のリスク

【CVE-2024-52534】Dell ECS 3.8.1.3未満に認証回避の脆弱性、キャプ...

Dell EMCは2024年12月25日、Dell ECSのバージョン3.8.1.3未満に認証回避の脆弱性が存在することを公表した。CVE-2024-52534として識別されるこの脆弱性は、リモートからの低権限攻撃者によってキャプチャリプレイ攻撃が可能となり、セッション情報の窃取につながる可能性がある。CVSSスコアは5.4(中程度)と評価され、早急な対策が推奨される。

【CVE-2024-52534】Dell ECS 3.8.1.3未満に認証回避の脆弱性、キャプ...

Dell EMCは2024年12月25日、Dell ECSのバージョン3.8.1.3未満に認証回避の脆弱性が存在することを公表した。CVE-2024-52534として識別されるこの脆弱性は、リモートからの低権限攻撃者によってキャプチャリプレイ攻撃が可能となり、セッション情報の窃取につながる可能性がある。CVSSスコアは5.4(中程度)と評価され、早急な対策が推奨される。

【CVE-2024-57900】Linuxカーネルのilaモジュールに競合状態の脆弱性、nf_register_net_hooks関数の直列化による対策を実施

【CVE-2024-57900】Linuxカーネルのilaモジュールに競合状態の脆弱性、nf_...

kernel.orgは2025年1月15日、Linuxカーネルのilaモジュールにおいて競合状態の脆弱性【CVE-2024-57900】を確認し修正を実施した。この脆弱性はnf_register_net_hooks()関数の並列呼び出しによって引き起こされ、特にバージョン4.5以降のシステムに影響を与える。修正ではmutexを導入し一度に1つのスレッドのみが関数を呼び出せるよう制御を実装している。

【CVE-2024-57900】Linuxカーネルのilaモジュールに競合状態の脆弱性、nf_...

kernel.orgは2025年1月15日、Linuxカーネルのilaモジュールにおいて競合状態の脆弱性【CVE-2024-57900】を確認し修正を実施した。この脆弱性はnf_register_net_hooks()関数の並列呼び出しによって引き起こされ、特にバージョン4.5以降のシステムに影響を与える。修正ではmutexを導入し一度に1つのスレッドのみが関数を呼び出せるよう制御を実装している。

【CVE-2024-57882】LinuxカーネルのMPTCP機能にバッファオーバーフロー、TCPオプション処理の重大な脆弱性が発見

【CVE-2024-57882】LinuxカーネルのMPTCP機能にバッファオーバーフロー、T...

kernel.orgはLinuxカーネルのMPTCP機能における重要な脆弱性(CVE-2024-57882)の修正を公開した。この問題はTCPオプションのオーバーフローに関連し、特にLinux 5.15以降のバージョンに影響を与える。ADD_ADDRオプションとDSSの相互排他性に起因する不具合で、システムの安定性とセキュリティに重大な影響を及ぼす可能性がある。Linux 6.1.124、6.6.70、6.12.9以前のバージョンが影響を受ける。

【CVE-2024-57882】LinuxカーネルのMPTCP機能にバッファオーバーフロー、T...

kernel.orgはLinuxカーネルのMPTCP機能における重要な脆弱性(CVE-2024-57882)の修正を公開した。この問題はTCPオプションのオーバーフローに関連し、特にLinux 5.15以降のバージョンに影響を与える。ADD_ADDRオプションとDSSの相互排他性に起因する不具合で、システムの安定性とセキュリティに重大な影響を及ぼす可能性がある。Linux 6.1.124、6.6.70、6.12.9以前のバージョンが影響を受ける。

【CVE-2024-57892】Linux kernelのocfs2ファイルシステムに深刻な脆弱性、リマウント時のメモリ管理に問題

【CVE-2024-57892】Linux kernelのocfs2ファイルシステムに深刻な脆...

Linux kernelのocfs2ファイルシステムにおいて、読み取り専用でリマウントした後のquota_getnextquotaシステムコール実行時に発生するスラブ解放後使用の脆弱性が発見された。この問題は、リマウントプロセス中にdqi_privポインタが解放された後もnullに設定されないことで発生し、Linux version 4.6以降のすべてのバージョンに影響を与える重大な脆弱性として報告されている。

【CVE-2024-57892】Linux kernelのocfs2ファイルシステムに深刻な脆...

Linux kernelのocfs2ファイルシステムにおいて、読み取り専用でリマウントした後のquota_getnextquotaシステムコール実行時に発生するスラブ解放後使用の脆弱性が発見された。この問題は、リマウントプロセス中にdqi_privポインタが解放された後もnullに設定されないことで発生し、Linux version 4.6以降のすべてのバージョンに影響を与える重大な脆弱性として報告されている。

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモリ管理の安全性が大幅に向上へ

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモ...

kernel.orgは2025年1月15日にLinux kernelのRDMA/rtrs脆弱性【CVE-2024-36476】の修正を公開した。この脆弱性はib_sge list変数の宣言位置が原因でNULLポインタ参照が発生する可能性があり、特にLinux version 5.8以降のシステムに影響を与えていた。修正によってメモリ管理の信頼性が向上し、システムの安定性が大幅に改善された。

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモ...

kernel.orgは2025年1月15日にLinux kernelのRDMA/rtrs脆弱性【CVE-2024-36476】の修正を公開した。この脆弱性はib_sge list変数の宣言位置が原因でNULLポインタ参照が発生する可能性があり、特にLinux version 5.8以降のシステムに影響を与えていた。修正によってメモリ管理の信頼性が向上し、システムの安定性が大幅に改善された。

【CVE-2025-0204】code-projects Online Shoe Store 1.0にSQLインジェクションの脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-0204】code-projects Online Shoe Store ...

code-projects社のOnline Shoe Store 1.0において、details.phpファイルのid引数にSQLインジェクションの脆弱性が発見された。CVE-2025-0204として登録されたこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0でMediumレベルと評価されている。CWE-89とCWE-74の2種類のインジェクション脆弱性として分類され、既に攻撃コードが公開されているため早急な対応が必要とされている。

【CVE-2025-0204】code-projects Online Shoe Store ...

code-projects社のOnline Shoe Store 1.0において、details.phpファイルのid引数にSQLインジェクションの脆弱性が発見された。CVE-2025-0204として登録されたこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0でMediumレベルと評価されている。CWE-89とCWE-74の2種類のインジェクション脆弱性として分類され、既に攻撃コードが公開されているため早急な対応が必要とされている。

【CVE-2025-21139】Adobe Substance3D - Designerに深刻な脆弱性、任意のコード実行の危険性が発覚

【CVE-2025-21139】Adobe Substance3D - Designerに深刻...

Adobe社は2025年1月14日、3Dデザインツール「Substance3D - Designer」のバージョン14.0以前に深刻な脆弱性が発見されたことを公表した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行が可能になる。機密性・完全性・可用性のすべてに高い影響があり、早急な対応が求められている。

【CVE-2025-21139】Adobe Substance3D - Designerに深刻...

Adobe社は2025年1月14日、3Dデザインツール「Substance3D - Designer」のバージョン14.0以前に深刻な脆弱性が発見されたことを公表した。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで任意のコード実行が可能になる。機密性・完全性・可用性のすべてに高い影響があり、早急な対応が求められている。

【CVE-2025-21332】WindowsのMapUrlToZoneにセキュリティバイパスの脆弱性が発見、広範なバージョンに影響

【CVE-2025-21332】WindowsのMapUrlToZoneにセキュリティバイパス...

MicrosoftはWindowsのMapUrlToZoneにおけるセキュリティ機能バイパスの脆弱性(CVE-2025-21332)を公開した。この脆弱性はCVSS v3.1で深刻度4.3と評価され、Windows Server 2025からWindows 10まで広範なバージョンに影響を及ぼす。特権は不要だがユーザーの関与が必要で、情報漏洩のリスクがある一方で整合性や可用性への影響は限定的とされている。

【CVE-2025-21332】WindowsのMapUrlToZoneにセキュリティバイパス...

MicrosoftはWindowsのMapUrlToZoneにおけるセキュリティ機能バイパスの脆弱性(CVE-2025-21332)を公開した。この脆弱性はCVSS v3.1で深刻度4.3と評価され、Windows Server 2025からWindows 10まで広範なバージョンに影響を及ぼす。特権は不要だがユーザーの関与が必要で、情報漏洩のリスクがある一方で整合性や可用性への影響は限定的とされている。

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開、Windows・Office製品群に広範な影響

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開...

MicrosoftがGDI+における重大な脆弱性【CVE-2025-21338】を公開した。この脆弱性は整数オーバーフローに関連する問題で、CVSSスコア7.8の高リスク脆弱性として評価されている。影響範囲はWindows 10、Windows 11、Windows Serverシリーズ、さらにはOffice製品群まで及び、32ビット、x64、ARM64の各プラットフォームに影響を与える可能性がある。

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開...

MicrosoftがGDI+における重大な脆弱性【CVE-2025-21338】を公開した。この脆弱性は整数オーバーフローに関連する問題で、CVSSスコア7.8の高リスク脆弱性として評価されている。影響範囲はWindows 10、Windows 11、Windows Serverシリーズ、さらにはOffice製品群まで及び、32ビット、x64、ARM64の各プラットフォームに影響を与える可能性がある。

【CVE-2025-21356】Microsoft Office Visioにリモートコード実行の脆弱性、複数のバージョンに影響

【CVE-2025-21356】Microsoft Office Visioにリモートコード実...

Microsoftは2025年1月14日、Microsoft Office Visioにおけるリモートコード実行の脆弱性【CVE-2025-21356】を公開した。この脆弱性はCVSSスコア7.8と高く評価され、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024など、複数の製品バージョンに影響を与える。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-21356】Microsoft Office Visioにリモートコード実...

Microsoftは2025年1月14日、Microsoft Office Visioにおけるリモートコード実行の脆弱性【CVE-2025-21356】を公開した。この脆弱性はCVSSスコア7.8と高く評価され、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021、Microsoft Office LTSC 2024など、複数の製品バージョンに影響を与える。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-21336】Windowsの暗号化情報開示の脆弱性が発見、幅広いバージョンに影響

【CVE-2025-21336】Windowsの暗号化情報開示の脆弱性が発見、幅広いバージョンに影響

Microsoftは2025年1月14日、Windows全バージョンに影響を与える暗号化情報開示の脆弱性(CVE-2025-21336)を公開した。CVSSスコア5.6で中程度の深刻度と評価され、Windows Server 2008からWindows Server 2025まで、また Windows 10、Windows 11の各バージョンにも影響を及ぼす。ローカルでの攻撃を必要とし、攻撃条件の複雑さは高いものの、機密性への影響が高いとされている。

【CVE-2025-21336】Windowsの暗号化情報開示の脆弱性が発見、幅広いバージョンに影響

Microsoftは2025年1月14日、Windows全バージョンに影響を与える暗号化情報開示の脆弱性(CVE-2025-21336)を公開した。CVSSスコア5.6で中程度の深刻度と評価され、Windows Server 2008からWindows Server 2025まで、また Windows 10、Windows 11の各バージョンにも影響を及ぼす。ローカルでの攻撃を必要とし、攻撃条件の複雑さは高いものの、機密性への影響が高いとされている。

【CVE-2025-21340】Windows VBSにセキュリティ機能回避の脆弱性、複数バージョンに影響

【CVE-2025-21340】Windows VBSにセキュリティ機能回避の脆弱性、複数バー...

MicrosoftはWindows Virtualization-Based Security (VBS)にセキュリティ機能回避の脆弱性を発見し、CVE-2025-21340として公開した。この脆弱性はWindows 10からWindows Server 2025まで広範囲に影響を与えており、CVSSスコア5.5を記録している。特に不適切なアクセス制御(CWE-284)に分類されており、ローカルからの攻撃で機密性に重大な影響を及ぼす可能性がある。

【CVE-2025-21340】Windows VBSにセキュリティ機能回避の脆弱性、複数バー...

MicrosoftはWindows Virtualization-Based Security (VBS)にセキュリティ機能回避の脆弱性を発見し、CVE-2025-21340として公開した。この脆弱性はWindows 10からWindows Server 2025まで広範囲に影響を与えており、CVSSスコア5.5を記録している。特に不適切なアクセス制御(CWE-284)に分類されており、ローカルからの攻撃で機密性に重大な影響を及ぼす可能性がある。

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、複数バージョンのOSに影響

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、...

MicrosoftはWindows Digital Mediaに特権昇格の脆弱性(CVE-2025-21341)を発見し公開した。この脆弱性はWindows 10からWindows 11、Windows Server 2008からWindows Server 2025まで広範なバージョンに影響を与え、CVSS v3.1で6.6の中程度のスコアを記録。物理的なアクセスを必要とするものの、低い特権レベルでユーザーの介入なしに攻撃を実行できる可能性があり、機密性や完全性、可用性に高い影響を及ぼす可能性がある。

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、...

MicrosoftはWindows Digital Mediaに特権昇格の脆弱性(CVE-2025-21341)を発見し公開した。この脆弱性はWindows 10からWindows 11、Windows Server 2008からWindows Server 2025まで広範なバージョンに影響を与え、CVSS v3.1で6.6の中程度のスコアを記録。物理的なアクセスを必要とするものの、低い特権レベルでユーザーの介入なしに攻撃を実行できる可能性があり、機密性や完全性、可用性に高い影響を及ぼす可能性がある。