Tech Insights

【CVE-2025-26633】Microsoft Management Console脆弱性の発見、Windowsの広範なバージョンに影響

【CVE-2025-26633】Microsoft Management Console脆弱性...

Microsoftは2025年3月11日、Microsoft Management Consoleにセキュリティ機能回避の脆弱性CVE-2025-26633を公開した。Windows 10からWindows 11、Windows Serverファミリーまで広範に影響し、CVSS3.1スコア7.0のHigh深刻度を記録。不適切な中和処理により、権限のない攻撃者がローカルでセキュリティ機能を回避できる可能性があり、早急な対応が必要とされている。

【CVE-2025-26633】Microsoft Management Console脆弱性...

Microsoftは2025年3月11日、Microsoft Management Consoleにセキュリティ機能回避の脆弱性CVE-2025-26633を公開した。Windows 10からWindows 11、Windows Serverファミリーまで広範に影響し、CVSS3.1スコア7.0のHigh深刻度を記録。不適切な中和処理により、権限のない攻撃者がローカルでセキュリティ機能を回避できる可能性があり、早急な対応が必要とされている。

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

Visionalグループの株式会社アシュアードは、セキュリティ評価プラットフォーム「Assured」が住友理工株式会社に導入されたことを発表した。住友理工は世界20ヶ国以上で事業を展開し、2029年に向けたビジョンでDXを活用したモノづくり革新を推進している。Assuredの導入により、増加するクラウドサービスの効率的かつ高精度なセキュリティ評価を実現する。

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

Visionalグループの株式会社アシュアードは、セキュリティ評価プラットフォーム「Assured」が住友理工株式会社に導入されたことを発表した。住友理工は世界20ヶ国以上で事業を展開し、2029年に向けたビジョンでDXを活用したモノづくり革新を推進している。Assuredの導入により、増加するクラウドサービスの効率的かつ高精度なセキュリティ評価を実現する。

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネットワーク名前空間の終了処理に問題

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネット...

Linuxカーネルにおいて、GTPモジュールのgtp_net_exit_batch_rtnlにおけるリスト破損の脆弱性が発見された。この問題はCVE-2025-21865として報告され、特に複数のネットワーク名前空間を使用する環境でデバイスの二重削除が発生する可能性がある。Linux 6.13以降の特定のバージョンが影響を受け、for_each_netdevループの削除による対策が必要となる。

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネット...

Linuxカーネルにおいて、GTPモジュールのgtp_net_exit_batch_rtnlにおけるリスト破損の脆弱性が発見された。この問題はCVE-2025-21865として報告され、特に複数のネットワーク名前空間を使用する環境でデバイスの二重削除が発生する可能性がある。Linux 6.13以降の特定のバージョンが影響を受け、for_each_netdevループの削除による対策が必要となる。

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワーク名前空間の削除処理に問題

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワ...

Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性を公開した。この問題はネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されない状況で発生し、Linux kernel 5.19以降の特定バージョンに影響を与える。修正済みバージョンが各ブランチで提供され、TCP受信パスでのsecpath解放タイミングの調整による対策が実装された。

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワ...

Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性を公開した。この問題はネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されない状況で発生し、Linux kernel 5.19以降の特定バージョンに影響を与える。修正済みバージョンが各ブランチで提供され、TCP受信パスでのsecpath解放タイミングの調整による対策が実装された。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクションの脆弱性、Subscriber権限で悪用の可能性

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御の脆弱性、出席リストの意図しない閲覧が可能な状態に

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアップデートを公開、重大な脆弱性に対処

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアッ...

Appleが2025年3月11日、iOS 18.3.2やmacOS Sequoia 15.3.2などの重要なセキュリティアップデートを公開した。Web Contentサンドボックスからの脱出を可能にする範囲外書き込みの脆弱性【CVE-2025-24201】に対処するもので、iOS 17.2以前のバージョンで標的型攻撃に利用された可能性が指摘されている。CVSSスコア7.1の高リスク脆弱性として評価され、早急な対応が推奨される。

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアッ...

Appleが2025年3月11日、iOS 18.3.2やmacOS Sequoia 15.3.2などの重要なセキュリティアップデートを公開した。Web Contentサンドボックスからの脱出を可能にする範囲外書き込みの脆弱性【CVE-2025-24201】に対処するもので、iOS 17.2以前のバージョンで標的型攻撃に利用された可能性が指摘されている。CVSSスコア7.1の高リスク脆弱性として評価され、早急な対応が推奨される。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null pointer dereferenceの危険性が判明

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null pointer dereferenceの対策パッチを公開

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

【CVE-2025-1689】ThemeMakers PayPal Express Checkoutに深刻な脆弱性、貢献者権限でXSS攻撃が可能に

【CVE-2025-1689】ThemeMakers PayPal Express Check...

WordPressプラグインThemeMakers PayPal Express Checkoutにおいて、バージョン1.1.9以前に影響を及ぼすクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4で中程度の深刻度と評価され、貢献者以上の権限を持つユーザーがPaypalショートコードを介して任意のWebスクリプトを注入できる問題が確認されている。早急な対応が求められる事態となっている。

【CVE-2025-1689】ThemeMakers PayPal Express Check...

WordPressプラグインThemeMakers PayPal Express Checkoutにおいて、バージョン1.1.9以前に影響を及ぼすクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4で中程度の深刻度と評価され、貢献者以上の権限を持つユーザーがPaypalショートコードを介して任意のWebスクリプトを注入できる問題が確認されている。早急な対応が求められる事態となっている。

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張子によるセキュリティスキャンのバイパスが可能に

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張...

Sonatype社はPickleファイルのセキュリティスキャンツールpicklescaneに重大な脆弱性を発見し公開した。バージョン0.0.21以前が影響を受けるこの脆弱性では、非標準拡張子を持つ悪意のあるPickleファイルを使用することでセキュリティチェックをバイパスできる。CVSSスコア5.3のミディアムレベルの脆弱性として評価され、最新版の0.0.22で修正された。

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張...

Sonatype社はPickleファイルのセキュリティスキャンツールpicklescaneに重大な脆弱性を発見し公開した。バージョン0.0.21以前が影響を受けるこの脆弱性では、非標準拡張子を持つ悪意のあるPickleファイルを使用することでセキュリティチェックをバイパスできる。CVSSスコア5.3のミディアムレベルの脆弱性として評価され、最新版の0.0.22で修正された。

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆...

WordPressプラグイン「Shortcodes Ultimate」のバージョン7.3.3以前に深刻な脆弱性が発見された。この脆弱性はCVE-2025-0370として識別され、CVSSスコア6.4を記録。Contributorレベル以上の権限を持つ攻撃者が、srcパラメータを介して任意のWebスクリプトを注入し、アクセスしたユーザーの環境で実行される可能性がある。

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆...

WordPressプラグイン「Shortcodes Ultimate」のバージョン7.3.3以前に深刻な脆弱性が発見された。この脆弱性はCVE-2025-0370として識別され、CVSSスコア6.4を記録。Contributorレベル以上の権限を持つ攻撃者が、srcパラメータを介して任意のWebスクリプトを注入し、アクセスしたユーザーの環境で実行される可能性がある。

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクで対応急ぐ

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECサイト構築プラットフォームstarsea-mall 1.0において、管理者向け機能の/admin/carousels/saveにクロスサイトスクリプティングの脆弱性が存在することが判明した。CVE-2025-2085として識別されたこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価され、既にエクスプロイトが公開されている状態であり、早急な対策が必要とされている。

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECサイト構築プラットフォームstarsea-mall 1.0において、管理者向け機能の/admin/carousels/saveにクロスサイトスクリプティングの脆弱性が存在することが判明した。CVE-2025-2085として識別されたこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価され、既にエクスプロイトが公開されている状態であり、早急な対策が必要とされている。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング脆弱性、UIの誤動作によるセキュリティリスクが発生

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱性、認証済みユーザーによるSQL Injection攻撃の可能性

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...

WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...

WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証SSRF脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱性、管理者画面が攻撃対象に

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2024-13431】Simply Schedule Appointmentsにクロスサイトスクリプティングの脆弱性が発見、バージョン1.6.8.3以前に影響

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。

【CVE-2025-27604】XWiki Confluence Migrator Proに認証バイパスの脆弱性、バージョン1.11.7で修正完了

【CVE-2025-27604】XWiki Confluence Migrator Proに認...

GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。

【CVE-2025-27604】XWiki Confluence Migrator Proに認...

GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。

【CVE-2024-13882】WordPressプラグインAiomaticに重大な脆弱性、認証済みユーザーによる任意のファイルアップロードが可能に

【CVE-2024-13882】WordPressプラグインAiomaticに重大な脆弱性、認...

WordPressプラグイン「Aiomatic」にContributor以上の権限を持つユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2024-13882として識別されるこの脆弱性は、バージョン2.3.8以前のすべてのバージョンに影響し、CVSSスコア8.8の高リスク評価となっている。悪用されるとリモートコード実行の可能性があり、早急な対応が必要とされている。

【CVE-2024-13882】WordPressプラグインAiomaticに重大な脆弱性、認...

WordPressプラグイン「Aiomatic」にContributor以上の権限を持つユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2024-13882として識別されるこの脆弱性は、バージョン2.3.8以前のすべてのバージョンに影響し、CVSSスコア8.8の高リスク評価となっている。悪用されるとリモートコード実行の可能性があり、早急な対応が必要とされている。

【CVE-2024-13359】Product Input Fields for WooCommerceに深刻な脆弱性、未認証での任意ファイルアップロードが可能に

【CVE-2024-13359】Product Input Fields for WooCom...

WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。

【CVE-2024-13359】Product Input Fields for WooCom...

WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱性、シェルアクセスによる任意のコード実行が可能に

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱...

Juniper NetworksのJunos OSにおいて、カーネルの不適切な分離に関する脆弱性が発見された。この脆弱性により、シェルアクセスを持つローカル攻撃者が任意のコードを実行し、デバイスを侵害する可能性がある。影響を受けるバージョンは21.2R3-S9以前から24.2R1-S2以前まで広範囲に及び、CVSSスコアは中程度と評価されている。発見はAmazonの内部セキュリティ調査によるものだ。

【CVE-2025-21590】Juniper NetworksのJunos OSに重大な脆弱...

Juniper NetworksのJunos OSにおいて、カーネルの不適切な分離に関する脆弱性が発見された。この脆弱性により、シェルアクセスを持つローカル攻撃者が任意のコードを実行し、デバイスを侵害する可能性がある。影響を受けるバージョンは21.2R3-S9以前から24.2R1-S2以前まで広範囲に及び、CVSSスコアは中程度と評価されている。発見はAmazonの内部セキュリティ調査によるものだ。

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが2025年4月23日に「KELAグループ アクティブ・サイバーディフェンス・セミナー」を開催する。政府による能動的サイバー防御の法制化を受け、ASMとCTEMの実践方法やサイバー脅威インテリジェンスの必要性について解説。基調講演では増田幸美氏が登壇し、オープンハウスとAGCからは導入事例も紹介される予定だ。

KELAが能動的サイバー防御セミナーを開催、ASMとCTEMの実践方法を解説予定

KELAが2025年4月23日に「KELAグループ アクティブ・サイバーディフェンス・セミナー」を開催する。政府による能動的サイバー防御の法制化を受け、ASMとCTEMの実践方法やサイバー脅威インテリジェンスの必要性について解説。基調講演では増田幸美氏が登壇し、オープンハウスとAGCからは導入事例も紹介される予定だ。

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、組織のセキュリティ体制強化を支援

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、...

LRM株式会社とGMOサイバーセキュリティ byイエラエ株式会社が、IT資産のリスク可視化と継続的なセキュリティ教育に関するウェビナーを2025年3月18日に開催する。セキュリティインシデント増加への対策として、IT資産の自動リスク可視化手法と効果的な教育実践方法を解説。途中参加可能で、企業のセキュリティ担当者向けに実践的な知識を提供する無料ウェビナーとなる。

LRMとGMOサイバーセキュリティがIT資産リスク可視化とセキュリティ教育のウェビナーを開催、...

LRM株式会社とGMOサイバーセキュリティ byイエラエ株式会社が、IT資産のリスク可視化と継続的なセキュリティ教育に関するウェビナーを2025年3月18日に開催する。セキュリティインシデント増加への対策として、IT資産の自動リスク可視化手法と効果的な教育実践方法を解説。途中参加可能で、企業のセキュリティ担当者向けに実践的な知識を提供する無料ウェビナーとなる。

【CVE-2025-0865】WP Media Category Managementに深刻な脆弱性、管理者権限での設定改ざんが可能に

【CVE-2025-0865】WP Media Category Managementに深刻な...

WordPressプラグイン「WP Media Category Management」のバージョン2.0から2.3.3において、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。非認証の攻撃者が管理者に細工されたリンクをクリックさせることで、プラグインの重要な設定を改ざん可能。CVSSスコア6.5の中程度の深刻度だが、サイト運営への影響が大きい脆弱性として早急な対応が必要となっている。

【CVE-2025-0865】WP Media Category Managementに深刻な...

WordPressプラグイン「WP Media Category Management」のバージョン2.0から2.3.3において、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。非認証の攻撃者が管理者に細工されたリンクをクリックさせることで、プラグインの重要な設定を改ざん可能。CVSSスコア6.5の中程度の深刻度だが、サイト運営への影響が大きい脆弱性として早急な対応が必要となっている。

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、トークン管理に影響の恐れ

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、...

GraphQL FederationフレームワークのGraphQL Meshにおいて、ルートレベルでの変換時に変数のキャッシュに関する脆弱性が発見された。CVE-2025-27097として識別されるこの問題は、同一クエリに対する異なる変数送信時に初期変数が継続使用される状態を引き起こし、特にトークンを変数として送信する場合にセキュリティリスクとなる可能性がある。

【CVE-2025-27097】GraphQL Meshにおける変数キャッシュの脆弱性が発見、...

GraphQL FederationフレームワークのGraphQL Meshにおいて、ルートレベルでの変換時に変数のキャッシュに関する脆弱性が発見された。CVE-2025-27097として識別されるこの問題は、同一クエリに対する異なる変数送信時に初期変数が継続使用される状態を引き起こし、特にトークンを変数として送信する場合にセキュリティリスクとなる可能性がある。

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSSRF脆弱性が発見、内部サービスへの不正アクセスが可能に

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...

WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。

【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...

WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2に認証バイパスの脆弱性、管理者権限への不正アクセスのリスクが発生

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2...

WordPressプラグインLogin Me Nowのバージョン1.7.2以前に重大な認証バイパスの脆弱性が発見された。AutoLogin::listen()関数の認証処理の不備により、他のソフトウェアのトランジェント名と値を利用することで、未認証の攻撃者が管理者を含む既存ユーザーとして不正にログインできる可能性がある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2025-1717】WordPressプラグインLogin Me Now 1.7.2...

WordPressプラグインLogin Me Nowのバージョン1.7.2以前に重大な認証バイパスの脆弱性が発見された。AutoLogin::listen()関数の認証処理の不備により、他のソフトウェアのトランジェント名と値を利用することで、未認証の攻撃者が管理者を含む既存ユーザーとして不正にログインできる可能性がある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13734】Card Elements for Elementor 1.2.6にXSS脆弱性、Contributor権限で悪用可能に

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。