2026-01-14
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/14 最終更新日:2026/01/14 JVN#34964581 Chainlitにおけるアクセス制限不備の脆弱性 Chainlitが提供するChainlitには、アクセス制限不備の脆弱性が存在します。 Chainlit 2.8.5より前のバージョン Chainlitが提供するChainlitには、次の脆弱性が存在します。 ユーザ制御の鍵による認証回避(CWE-639) CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 2.3 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 4.2 CVE-2025-68492 当該製品にログイン可能な攻撃者により、スレッドを閲覧されたり、スレッドの所有権を取得される可能性があります。 アップデートする 開発者が提供する情報をもとに、ソフトウェアを最新版へアップデートしてください。 ベンダ リンク Chainlit Releases この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:NRIセキュアテクノロジーズ株式会社 木村 正太朗 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-68492 JVN iPedia JVNDB-2026-000006
2026-01-14
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2026-01-13
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/13 最終更新日:2026/01/13 JVN#48187396 EATON UPS Companionにおける複数の脆弱性 Eatonが提供するEATON UPS Companionには、複数の脆弱性が存在します。 EATON UPS Companion 3.0より前のバージョン Eatonが提供するEATON UPS Companionには、次の複数の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427、CVE-2025-59887) 引用符で囲まれていない検索パス(CWE-428、CVE-2025-59888) 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 インストーラを実行している権限で、任意のコードを実行される(CVE-2025-59887) システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される(CVE-2025-59888) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク Eaton ETN-VA-2025-1026: Multiple security issues in Eaton UPS Companion software Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、下記の方が開発者およびIPAに報告し、JPCERT/CCが情報セキュリティ早期警戒パートナーシップに基づき開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000005
2026-01-09
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/09 最終更新日:2026/01/09 JVN#12770174 RICOH Streamline NXにおける不適切な認可処理の脆弱性 株式会社リコーが提供するRICOH Streamline NXには、不適切な認可処理の脆弱性が存在します。 RICOH Streamline NX 3.5.1から24R3まで 株式会社リコーが提供するRICOH Streamline NXには、次の脆弱性が存在します。 不適切な認可処理(CWE-639) CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.2 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.9 CVE-2026-21409 中間者攻撃(man-in-the-middle attack)が行われることを想定しています 当該製品とそのユーザの間の通信に対して中間者攻撃が行われた場合、当該製品に対して細工したリクエストを処理させることで、ユーザの登録情報やOIDC(OpenID Connect)トークン等を取得される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ワークアラウンドを実施する ソフトウェアを速やかに更新できない場合には、ワークアラウンドの適用が推奨されています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク 株式会社リコー Notice on potential impact of "Vulnerability leading to leakage of Credential IDs and Personally Identifiable Information of Users" towards RICOH Streamline NX V3 この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-21409 JVN iPedia JVNDB-2026-000003
2026-01-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/08 最終更新日:2026/01/22 JVN#17956874 複数のPioneer製品のインストーラーにおけるDLL読み込みに関する脆弱性 パイオニア株式会社が提供する複数の製品のインストーラーにはDLL読み込みに関する脆弱性が存在します。 以下の製品のドライバーソフトウェアが、本脆弱性の影響を受けます。 USB DAC アンプ APS-DA101JS APS-DA101JR APS-DA101JGL APS-DA101JGR Stellanova Lite APS-S201JS APS-S201JR APS-S201JGL APS-S201JGR Stellanova Limited APS-S202J-LM Stellanova APS-S301 シリーズ パイオニア株式会社が提供する複数の製品のインストーラーには、次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値7.8 CVE-2026-21427 インストーラーを実行している権限で、任意のコードを実行される可能性があります。 開発者に問い合わせる 開発者は、製品ユーザーからの問合せに応じて、緩和策を提示するとのことです。 詳細は、下記ベンダ情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ パイオニア株式会社 該当製品あり 2026/01/08 パイオニア株式会社 の告知ページ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-21427 JVN iPedia JVNDB-2026-000004 2026/01/22 [影響を受けるシステム]の誤植を修正しました
2026-01-07
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/07 最終更新日:2026/01/14 JVN#45776251 複数のシャープディスプレイソリューションズ製のNECブランドプロジェクターにおける複数の脆弱性 シャープディスプレイソリューションズ株式会社がNECブランドで提供する複数のプロジェクターには、複数の脆弱性が存在します。 本件の影響を受ける製品は、NECブランドで提供され、製品銘版記載の製造会社名が「NECディスプレイソリューションズ株式会社」または「シャープNECディスプレイソリューションズ株式会社」です。 影響を受ける製品などの詳細については、[ベンダ情報]で製品開発者が提供する情報を確認してください。 シャープディスプレイソリューションズ株式会社がNECブランドで提供する複数のプロジェクターには、次の複数の脆弱性が存在します。 パストラバーサル(CWE-22、CVE-2025-11540) スタックベースのバッファオーバーフロー(CWE-121、CVE-2025-11541、CVE-2025-11542) データ完全性の検証不備(CWE-354、CVE-2025-11543) 非公開機能を悪用される問題(CWE-912、CVE-2025-11544) 認可されていない相手への機微なシステム情報の漏えい(CWE-497、CVE-2025-11545) 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該プロジェクター内の任意のファイルを取得される(CVE-2025-11540) 任意のコマンドやプログラムを実行される(CVE-2025-11541、CVE-2025-11542) 不正なファームウェアを実行される(CVE-2025-11543) 第三者によってネットワーク接続情報を不正に取得される(CVE-2025-11544) 第三者によって任意の操作を実行される(CVE-2025-11545) ワークアラウンドを実施する 開発者は、影響を受ける製品すべてに対し回避策を提供しています。開発者の提供する情報もとに、回避策を適用してください。 アップデートする 一部の製品については、本脆弱性を修正したバージョンのファームウェアが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 詳しくは、開発者が提供する情報を確認してください。 ベンダ リンク シャープディスプレイソリューションズ株式会社 プロジェクターにおける複数の脆弱性 プロジェクターにおける不正な情報取得が可能な脆弱性 プロジェクターにおける不正な操作が可能な脆弱性 この脆弱性情報は、下記の方が製品開発者に直接報告し、開発者との調整を経て、開発者が情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCが開発者との調整を行いました。 ルクセンブルク大学 Sebastian Pahl 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000002 2026/01/14 [タイトル]、[概要]、[影響を受けるシステム]、[詳細情報]を更新しました
2026-01-07
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/07 最終更新日:2026/01/07 JVN#24626628 Fujitsu Security Solution AuthConductor Client Basic V2における送信元の確認が不十分な脆弱性 富士通クライアントコンピューティング株式会社が提供するFujitsu Security Solution AuthConductor Client Basic V2には、送信元の確認が不十分な脆弱性が存在します。 Fujitsu Security Solution AuthConductor Client Basic V2 バージョン2.0.25.0およびそれ以前 富士通クライアントコンピューティング株式会社が提供するFujitsu Security Solution AuthConductor Client Basic V2には、次の脆弱性が存在します。 送信元の確認が不十分(CWE-346) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-20893 当該製品がインストールされたWindowsシステムにログイン可能な攻撃者によって、SYSTEM権限で任意のコマンドを実行されたり、レジストリを書き換えられたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 富士通クライアントコンピューティング株式会社 該当製品あり 2026/01/07 富士通クライアントコンピューティング株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-20893 JVN iPedia JVNDB-2026-000001
2025-12-23
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-12-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/17 最終更新日:2025/12/17 JVN#55745775 GROWIにおけるクロスサイトリクエストフォージェリの脆弱性 株式会社GROWIが提供するGROWIには、クロスサイトリクエストフォージェリの脆弱性が存在します。 GROWI v7.3.3およびそれ以前 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値: 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値: 4.3 CVE-2025-64700 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.3.4 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2025/12/17 株式会社GROWI の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64700 JVN iPedia JVNDB-2025-000118
2025-12-17
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-12-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/16 最終更新日:2025/12/16 JVN#51846148 複数のセイコーエプソン製プリンターのWeb Configにおけるスタックベースのバッファオーバーフローの脆弱性 複数のセイコーエプソン製プリンターに搭載されているWeb Configには、スタックベースのバッファオーバーフローの脆弱性が存在します。 Web Config 本脆弱性の影響を受ける機器は、広範囲に及びます。 詳細は、開発者が提供する情報を確認してください。 セイコーエプソン株式会社が提供する複数のプリンター製品に導入されているWeb Configは、Webブラウザ上で製品本体の状態を確認したり設定を変更したりするためのソフトウェアです。 Web Configには、次の脆弱性が存在します。 スタックベースのバッファオーバーフロー(CWE-121) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-66635 Web Configにログインしたユーザーによる細工した入力を処理することで、任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ワークアラウンドを実施する 開発者は、対策ファームウェアの提供予定のない製品については、ワークアラウンドの適用を強く推奨しています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク セイコーエプソン株式会社 プリンターのWeb Configで任意のコマンドが実行可能な脆弱性について この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-66635 JVN iPedia JVNDB-2025-000117
2025-12-12
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-12-11
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/11 最終更新日:2025/12/11 JVN#40102375 QNDにおける権限昇格の脆弱性 クオリティソフト株式会社が提供するQNDには権限昇格の脆弱性が存在します。 QND Premium/Advance/Standard Ver.11.0.9iおよびそれ以前のバージョン クオリティソフト株式会社が提供するQNDには、次の脆弱性が存在します。 権限昇格(CWE-268) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-64701 当該製品のWindowsクライアントがインストールされたPCにログイン可能なユーザーによって、管理者権限を取得される可能性があります。 その結果、機微な情報を取得や改ざんされたり、任意の操作を実行されたりする可能性があります。 パッチを適⽤する 開発者が提供する情報を元にVer.11.0.9iへアップデートしたうえでパッチを適用してください。 ベンダ リンク クオリティソフト株式会社 QND Windows クライアントの脆弱性について この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:PwCコンサルティング合同会社 陳 同人 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64701 JVN iPedia JVNDB-2025-000115
2025-12-11
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-12-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-12-10
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-12-09
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/09 最終更新日:2025/12/09 JVN#33172708 エレコム製クローン for Windowsにおける引用符で囲まれていないファイルパスの脆弱性 エレコム株式会社が提供するクローン for WindowsはWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 クローン for Windows Ver.2.36より前のバージョン エレコム株式会社が提供するクローン for Windowsには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-66271 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エレコム株式会社 該当製品あり 2025/12/09 エレコム株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-66271 JVN iPedia JVNDB-2025-000114
2025-12-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/08 最終更新日:2025/12/10 JVN#19940619 GroupSessionにおける複数の脆弱性 日本トータルシステム株式会社が提供するGroupSessionには、複数の脆弱性が存在します。 CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192 GroupSession 無料版 ver5.3.0より前のバージョン GroupSession byCloud ver5.3.3より前のバージョン GroupSession ZION ver5.3.2より前のバージョン CVE-2025-64781、CVE-2025-65120、CVE-2025-66284 GroupSession 無料版 ver5.7.1より前のバージョン GroupSession byCloud ver5.7.1より前のバージョン GroupSession ZION ver5.7.1より前のバージョン 日本トータルシステム株式会社が提供するGroupSessionには、次の複数の脆弱性が存在します。 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-53523 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-54407 反射型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-57883 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-58576 ユーザ識別情報操作による権限チェック回避(CWE-639) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-61950 WebSocketにおけるオリジン検証不備(CWE-1385) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3 CVE-2025-61987 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 5.4 CVE-2025-62192 安全ではない初期設定(CWE-1188) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N 基本値 4.7 CVE-2025-64781 「外部ページ表示制限設定」が初期値の"制限しない"のままの場合、本脆弱性の影響を受けます 反射型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-65120 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-66284 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 細工されたページやURLにアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-65120、CVE-2025-66284) 細工されたページにアクセスした場合、意図していない操作をさせられる(CVE-2025-58576) 当該製品にログインしたユーザによって、回覧板のメモを改ざんされる(CVE-2025-61950) 細工されたページにアクセスした場合、ユーザ宛に送信されたチャットの情報が漏えいする(CVE-2025-61987) 当該製品にログインしたユーザによって、データベース内の情報を取得されたり改ざんされたりする(CVE-2025-62192) 細工されたURLにアクセスすることで、任意のウェブサイトにリダイレクトされる(CVE-2025-64781) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本トータルシステム株式会社 該当製品あり 2025/12/08 日本トータルシステム株式会社 の告知ページ これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 CVE-2025-53523 報告者:GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏 三井物産セキュアディレクション株式会社 望月岳 氏、荒牧努 氏、白倉 大河 氏 古川菜摘 氏 CVE-2025-54407 報告者:三井物産セキュアディレクション株式会社 米山 俊嗣 氏 CVE-2025-57883 報告者:三井物産セキュアディレクション株式会社 露木 拓巳 氏 佐藤竜 氏 CVE-2025-58576 報告者:三井物産セキュアディレクション株式会社 露木 拓巳 氏、山本 健太 氏、望月岳 氏 GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏 CVE-2025-61950 報告者:三井物産セキュアディレクション株式会社 荒牧努 氏 CVE-2025-61987 報告者:三井物産セキュアディレクション株式会社 望月岳 氏 CVE-2025-62192 報告者:三井物産セキュアディレクション株式会社 望月岳 氏、荒牧努 氏 CVE-2025-64781 報告者:佐藤竜 氏 CVE-2025-65120 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 株式会社ブロードバンドセキュリティ 志賀 拓馬 氏 CVE-2025-66284 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 榎田小次郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53523 CVE-2025-54407 CVE-2025-57883 CVE-2025-58576 CVE-2025-61950 CVE-2025-61987 CVE-2025-62192 CVE-2025-64781 CVE-2025-65120 CVE-2025-66284 JVN iPedia JVNDB-2025-000113 2025/12/10 [謝辞]を更新しました
2025-12-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/08 最終更新日:2025/12/08 JVN#59242986 GSユアサ製FULLBACK Manager Proにおける引用符で囲まれていないファイルパスの脆弱性 株式会社 GSユアサが提供するFULLBACK Manager ProはWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 FULLBACK Manager Pro (Windows版) Ver 4.00およびそれ以前 FULLBACK Manager Pro for Network (Windows版) Ver 3.00およびそれ以前 株式会社 GSユアサが提供するFULLBACK Manager Proには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-66461 当該製品のインストールディレクトリに至るパスへの書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク 株式会社 GSユアサ 無停電電源装置(UPS)用電源管理ソフトウェアの脆弱性に関するお知らせ(PDF) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-66461 JVN iPedia JVNDB-2025-000116
2025-12-08
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-12-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/12/05 最終更新日:2025/12/05 JVN#84024274 ABB製Terra AC wallboxにおける複数の脆弱性 ABBが提供するTerra AC wallboxには、複数の脆弱性が存在します。 Terra AC wallbox(JP)1.8.33およびそれ以前のバージョン ABBが提供するTerra AC wallboxには、次の脆弱性が存在します。 ヒープベースのバッファオーバーフロー(CWE-122) CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基本値 6.1 CVE-2025-10504 古典的バッファオーバーフロー(CWE-120) CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基本値 6.1 CVE-2025-12142 スタックベースのバッファオーバーフロー(CWE-121) CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H 基本値 6.1 CVE-2025-12143 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品とBluetooth通信を行うことができる攻撃者によって細工されたリクエストを送信された場合、任意のコードを実行されたり、ファームウェアの挙動を変更されたりする(CVE-2025-10504、CVE-2025-12142) 攻撃者によってOCPPサーバから当該機器へ細工されたリクエストを送信された場合、任意のコードを実行されたり、ファームウェアの挙動を変更されたりする(CVE-2025-12143) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク ABB Terra AC wallbox Heap Memory Corruption Vulnerability(PDF) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:パナソニック 加藤遼 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000094
2025-11-28
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/28 最終更新日:2025/11/28 JVN#28247549 INZONE HubのインストーラにおけるDLL読み込みに関する脆弱性 ソニー株式会社が提供するINZONE HubのインストーラにはDLL読み込みに関する脆弱性が存在します。 INZONE Hub 1.0.10.3から1.0.17.0 ソニー株式会社が提供するINZONE Hubのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-64772 インストーラを実行している権限で、任意のコードを実行される可能性があります。 問題の起きないバージョンを使用する 開発者が提供する情報をもとに、最新版のインストーラを使用してください。 ベンダ リンク ソニー株式会社 設定ソフトウェア INZONE Hub | ゲーミングギア INZONE(インゾーン) | 総合サポート・お問い合わせ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64772 JVN iPedia JVNDB-2025-000112
2025-11-26
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/26 最終更新日:2025/11/26 JVN#67185535 SwitchBot製スマートテレビドアホンに利用可能なデバッグ機能が存在している脆弱性 SwitchBotが提供するスマートテレビドアホンには、利用可能なデバッグ機能が存在しています。 スマートテレビドアホン ファームウェアバージョン 2.01.078より前 SwitchBotが提供するスマートテレビドアホンには、次の脆弱性が存在します。 有効なままのデバッグ機能(CWE-489) CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.0 CVE-2025-64983 隣接ネットワーク上からTelnetで接続され、当該製品に不正にログインされる可能性があります。 ファームウェアをアップデートする 当該製品の親機と子機のファームウェアを更新してください。 開発者はファームウェアの自動アップデートを配信しています。 ベンダ リンク SWITCHBOT株式会社 SwitchBot スマートテレビドアホン この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき発見者からIPAへ報告され、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64983 JVN iPedia JVNDB-2025-000111
2025-11-25
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/25 最終更新日:2025/11/25 JVN#76298784 MaLionの端末エージェント(Windows)における複数の脆弱性 株式会社インターコムが提供するMaLionの端末エージェント(Windows)には、複数の脆弱性が存在します。 CVE-2025-59485 MaLion Ver.5.3.4より前のバージョンの端末エージェント(Windows) CVE-2025-62691、CVE-2025-64693 MaLion Ver.7.1.1.9より前のバージョンの端末エージェント(Windows) MaLionCloud Ver.7.2.0.1より前のバージョンの端末エージェント(Windows) 株式会社インターコムが提供するMaLionの端末エージェント(Windows)には、次の複数の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 4.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 3.3 CVE-2025-59485 HTTPヘッダ処理におけるスタックベースのバッファオーバーフロー(CWE-121) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-62691 Content-Length処理におけるヒープベースのバッファオーバーフロー(CWE-122) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-64693 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 任意のファイルを特定のフォルダに配置される。配置されたファイルが細工されたDLLファイルの場合、結果としてSYSTEM権限で任意のコードを実行される(CVE-2025-59485) 遠隔の第三者によって細工されたリクエストを送信された場合、SYSTEM権限で任意のコードを実行される(CVE-2025-62691、CVE-2025-64693) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 各脆弱性は次のバージョンで修正されています。 CVE-2025-59485 MaLion Ver.5.3.4およびそれ以降のバージョンの端末エージェント(Windows) CVE-2025-62691、CVE-2025-64693 MaLion Ver.7.1.1.9およびそれ以降のバージョンの端末エージェント(Windows) MaLionCloud Ver.7.2.0.1およびそれ以降のバージョンの端末エージェント(Windows) ベンダ リンク 株式会社インターコム MaLion 端末エージェント(Windows)における複数の脆弱性につきまして CVE-2025-59485 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 ルスラン サイフィエフ 氏 CVE-2025-62691、CVE-2025-64693 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 デニス ファウストヴ 氏、ルスラン サイフィエフ 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-59485 CVE-2025-62691 CVE-2025-64693 JVN iPedia JVNDB-2025-000110
2025-11-25
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/25 最終更新日:2025/11/25 JVN#75140384 SNC-CX600Wにおける複数の脆弱性 ソニー株式会社が提供するSNC-CX600Wには、複数の脆弱性が存在します。 CVE-2025-62497 SNC-CX600W Ver.2.8.0より前のバージョン CVE-2025-64730 SNC-CX600W すべてのバージョン ソニー株式会社が提供するSNC-CX600Wには、次の複数の脆弱性が存在します。 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 2.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 3.1 CVE-2025-62497 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 5.2 CVE-2025-64730 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ログイン中のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2025-62497) 当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-64730) CVE-2025-62497 アップデートする 開発者が提供する情報をもとに、ソフトウェアのアップデートを行ってください。 CVE-2025-64730 ワークアラウンドを実施する 開発者によると、次のワークアラウンドを実施することで、本脆弱性の影響を緩和することが可能とのことです。 管理者IDおよび管理者パスワードを初期値から変更し、適切に管理する HTTPSを有効化し暗号化された通信を行う 作業終了の度にログアウトする(ブラウザを閉じる) ベンダ リンク ソニー株式会社 ソフトウェアダウンロード | ネットワークカメラ/防犯・監視システム | 法人のお客様 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 CVE-2025-62497 報告者:横浜国立大学 櫛引淳之介 氏、本多凌大 氏、竹内謙仁 氏、上園大智 氏、九鬼琉 氏、佐々木貴之 氏、吉岡克成 氏 CVE-2025-64730 報告者:横浜国立大学 竹内謙仁 氏、上園大智 氏、本多凌大 氏、櫛引淳之介 氏、九鬼琉 氏、佐々木貴之 氏、吉岡克成 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-62497 CVE-2025-64730 JVN iPedia JVNDB-2025-000109
2025-11-25
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/25 最終更新日:2025/11/25 JVN#63368617 スマートフォンアプリ「FOD」 におけるハードコードされた暗号鍵使用の脆弱性 株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、ハードコードされた暗号鍵使用の脆弱性が存在します。 Androidアプリ「FOD」 5.2.0より前のバージョン iOSアプリ「FOD」 5.2.0より前のバージョン 株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、次の脆弱性が存在します。 ハードコードされた暗号鍵の使用(CWE-321) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 4.0 CVE-2025-64304 当該製品にハードコードされた暗号鍵を第三者に取得される可能性があります。 開発者によると、これらの鍵を取得されたとしても影響は極めて限定的であり、通常の使用形態において、ユーザーのなりすましなどの攻撃はほぼ不可能であるとのことです。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は暗号鍵を内包しない次のバージョンをリリースしています。 Androidアプリ「FOD」 5.2.0 iOSアプリ「FOD」 5.2.0 なお、開発者によると 本件の影響を受けるバージョンを使用している場合、起動時に即時アップデートを強制される 当該暗号鍵は2025年11月17日に無効化されており、当該暗号鍵を使用した通信や処理は既に不可能となっている とのことです。 ベンダ リンク 株式会社フジテレビジョン 【お知らせ】ハードコードされた暗号鍵使用の脆弱性について JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64304 JVN iPedia JVNDB-2025-000108
2025-11-21
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/21 最終更新日:2025/11/21 JVN#77560819 LogStare Collectorにおける複数の脆弱性 株式会社LogStareが提供するLogStare Collectorには、複数の脆弱性が存在します。 CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299 LogStare Collector(Windows版)2.4.1およびそれ以前 LogStare Collector(Linux版)2.4.1およびそれ以前 CVE-2025-64695 LogStare Collector(Windows版)2.4.1およびそれ以前のインストーラ 株式会社LogStareが提供するLogStare Collectorには、次の複数の脆弱性が存在します。 インストールディレクトリのファイルアクセス権設定が不適切(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N 基本値 5.5 CVE-2025-58097 ユーザ管理機能における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-61949 ユーザアカウント作成におけるアクセス制限不備(CWE-863) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-62189 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値 6.5 CVE-2025-62687 送信データへの機微な情報の挿入(CWE-201) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N 基本値 4.9 CVE-2025-64299 インストーラにおけるファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-64695 細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受けます 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 管理者権限を持たない一般ユーザによって、当該製品のインストールディレクトリ内のファイルを操作され、管理者権限で任意のコードを実行される(CVE-2025-58097) 細工されたユーザ情報が入力されている場合、当該製品の管理画面にログインしたユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2025-61949) 管理者権限を持たない一般ユーザが、細工されたHTTPリクエストにより新規ユーザアカウントを作成する(CVE-2025-62189) 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2025-62687) 管理者権限を持つユーザによって、他のユーザのパスワードハッシュを取得される(CVE-2025-64299) インストーラを実行している権限で、任意のコードを実行される(CVE-2025-64695) CVE-2025-58097、CVE-2025-61949、CVE-2025-62189、CVE-2025-62687、CVE-2025-64299 アップデートする 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 LogStare Collector(Windows版)2.4.2 LogStare Collector(Linux版)2.4.2 CVE-2025-64695 最新のインストーラを使用する 開発者から本脆弱性を修正したインストーラが提供されています。製品をインストールする際は最新版のインストーラを使用してください。 ベンダ リンク 株式会社LogStare LogStare Collectorにおける複数の脆弱性について(2025-001) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58097 CVE-2025-61949 CVE-2025-62189 CVE-2025-62687 CVE-2025-64299 CVE-2025-64695 JVN iPedia JVNDB-2025-000106
2025-11-19
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/19 最終更新日:2025/11/19 JVN#50288352 らくらく無線スタートEX for WindowsのインストーラにおけるDLL読み込みに関する脆弱性 日本電気株式会社が提供するらくらく無線スタートEX for WindowsのインストーラにはDLL読み込みに関する脆弱性が存在します。 らくらく無線スタートEX for Windows すべてのバージョン ※当該製品はWindows XP/Vista/7/8/10用のツールです 日本電気株式会社が提供するらくらく無線スタートEX for Windowsのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-12852 インストーラを実行している権限で、任意のコードを実行される可能性があります。 当該ツールの使用を停止する 開発者によると当該ツールのサポートは既に終了しているため、使用停止を推奨するとのことです。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2025/11/19 Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:黒田 浩平 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000107
2025-11-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/17 最終更新日:2025/11/17 JVN#54005037 iOSアプリ「デジラアプリ」におけるサーバ証明書の検証不備の脆弱性 KDDI株式会社が提供するiOSアプリ「デジラアプリ」には、サーバ証明書の検証不備の脆弱性が存在します。 iOSアプリ「デジラアプリ」ver.80.10.00より前のバージョン KDDI株式会社が提供するiOSアプリ「デジラアプリ」には、次の脆弱性が存在します。 サーバ証明書の検証不備(CWE-295) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 2.3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値 4.8 CVE-2025-60022 中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴や改ざんが行なわれる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ KDDI株式会社 該当製品あり 2025/11/17 無線LANのアクセスポイントを設置した第三者によって、中間者攻撃(man-in-the-middle attack)が行われることを想定しています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社エスアイイー 小川 剛 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-60022 JVN iPedia JVNDB-2025-000097
2025-11-14
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/14 最終更新日:2025/11/14 JVN#49899607 NCP-HG100におけるOSコマンドインジェクションの脆弱性 ソニーネットワークコミュニケーションズ株式会社が提供し、MANOMAサービスで使用されるNCP-HG100には、OSコマンドインジェクションの脆弱性が存在します。 NCP-HG100/Cellularモデル ファームウェアバージョン1.4.48.16およびそれ以前 NCP-HG100/WLANモデル ファームウェアバージョン1.4.48.16およびそれ以前 ソニーネットワークコミュニケーションズ株式会社が提供し、MANOMAサービスで使用されるNCP-HG100には、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-64444 当該製品の管理画面にログインするための認証情報を取得した遠隔の第三者によって、root権限で任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 開発者は、本脆弱性を修正した以下のファームウェアをリリースしています。 NCP-HG100/Cellularモデル ファームウェアバージョン1.4.48.17 NCP-HG100/WLANモデル ファームウェアバージョン1.4.48.17 ベンダ リンク ソニーネットワークコミュニケーションズ株式会社 MANOMA AIホームゲートウェイのファームウェアアップデートについて この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 今井啓貴 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64444 JVN iPedia JVNDB-2025-000105
2025-11-12
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-11-10
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/10 最終更新日:2025/11/10 JVN#76719218 GNU Libmicrohttpd における複数の脆弱性 GNU Projectが提供するGNU Libmicrohttpdには、複数の脆弱性が存在します。 GNU Libmicrohttpd v1.0.2 およびそれ以前 本脆弱性は、広く利用されているlibmicrohttpd.soではなく、--enable-experimentalオプションを有効にしてビルドした際に生成されるlibmicrohttpd_ws.soに存在します。 なお、libmicrohttpdのGitリポジトリのmasterブランチにおいて、v1.0.2タグより後のcommit: ff13abcコミットまでのソースコードには本脆弱性が残存していることに留意してください。 GNU Projectが提供するGNU Libmicrohttpdには、次の複数の脆弱性が存在します。 NULLポインタ参照(CWE-476) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5 CVE-2025-59777 ヒープベースのバッファオーバーフロー(CWE-122) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5 CVE-2025-62689 不正に細工されたパケットを送信されることににより、当該システムがサービス運用妨害(DoS)状態にされる可能性があります。 libmicrohttpd_ws.soの利用を停止する libmicrohttpd_ws.soは実験的に導入されたライブラリのため、利用している場合は利用を停止してください。 ベンダ リンク GNU Project GNU Libmicrohttpd commit ff13abc: remove broken experimental code この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 安松達彦 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-59777 CVE-2025-62689 JVN iPedia JVNDB-2025-000104
2025-11-07
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/07 最終更新日:2025/11/07 JVN#13754005 バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」における強度が不十分なパスワードハッシュの使用の脆弱性 株式会社バッファローが提供するWi-Fiルーター「WSR-1800AX4シリーズ」には、強度が不十分なパスワードハッシュの使用の脆弱性が存在します。 WSR-1800AX4 ファームウェア Ver.1.09より前のバージョン WSR-1800AX4S ファームウェア Ver.1.11より前のバージョン WSR-1800AX4B ファームウェア Ver.1.11より前のバージョン WSR-1800AX4-KH ファームウェア Ver.1.19より前のバージョン WSR-1800AX4Pは本脆弱性の影響を受けません。 株式会社バッファローが提供するWi-Fiルーター「WSR-1800AX4シリーズ」には、次の脆弱性が存在します。 強度が不十分なパスワードハッシュの使用(CWE-916) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 4.3 CVE-2025-46413 本脆弱性はWPS機能が有効な場合に影響を受けます 攻撃者によって、PINコードおよびWi-Fiパスワードを窃取される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 WSR-1800AX4 ファームウェア Ver.1.09 WSR-1800AX4S ファームウェア Ver.1.11 WSR-1800AX4B ファームウェア Ver.1.11 WSR-1800AX4-KH ファームウェア Ver.1.19 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社バッファロー 該当製品あり 2025/11/07 株式会社バッファロー の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:高知工業高等専門学校 近森麗彰 氏、立川崇之 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-46413 JVN iPedia JVNDB-2025-000103
2025-11-07
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/07 最終更新日:2025/11/07 JVN#59387134 CLUSTERPRO XおよびEXPRESSCLUSTER XにおけるOSコマンドインジェクションの脆弱性 日本電気株式会社が提供するCLUSTERPRO XおよびEXPRESSCLUSTER Xには、OSコマンドインジェクションの脆弱性が存在します。 CLUSTERPRO X 4.0 for Linux EXPRESSCLUSTER X 4.0 for Linux CLUSTERPRO X 4.1 for Linux EXPRESSCLUSTER X 4.1 for Linux CLUSTERPRO X 4.2 for Linux EXPRESSCLUSTER X 4.2 for Linux CLUSTERPRO X 4.3 for Linux EXPRESSCLUSTER X 4.3 for Linux CLUSTERPRO X 5.0 for Linux EXPRESSCLUSTER X 5.0 for Linux CLUSTERPRO X 5.1 for Linux EXPRESSCLUSTER X 5.1 for Linux CLUSTERPRO X 5.2 for Linux EXPRESSCLUSTER X 5.2 for Linux CLUSTERPRO X SingleServerSafe 4.0 for Linux EXPRESSCLUSTER X SingleServerSafe 4.0 for Linux CLUSTERPRO X SingleServerSafe 4.1 for Linux EXPRESSCLUSTER X SingleServerSafe 4.1 for Linux CLUSTERPRO X SingleServerSafe 4.2 for Linux EXPRESSCLUSTER X SingleServerSafe 4.2 for Linux CLUSTERPRO X SingleServerSafe 4.3 for Linux EXPRESSCLUSTER X SingleServerSafe 4.3 for Linux CLUSTERPRO X SingleServerSafe 5.0 for Linux EXPRESSCLUSTER X SingleServerSafe 5.0 for Linux CLUSTERPRO X SingleServerSafe 5.1 for Linux EXPRESSCLUSTER X SingleServerSafe 5.1 for Linux CLUSTERPRO X SingleServerSafe 5.2 for Linux EXPRESSCLUSTER X SingleServerSafe 5.2 for Linux 日本電気株式会社が提供するCLUSTERPRO XおよびEXPRESSCLUSTER Xには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-11546 攻撃者が当該製品に細工したネットワークパケットを送信した場合、認証無しで任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ワークアラウンドを実施する 次の回避策を適用することで、本脆弱性の影響を回避することが可能です。 Firewallを有効にし、不要な通信を遮断する 次のポートについて、クラスタに所属するホストのみに接続要求の受付を許可する データ転送(既定値:29002) 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2025/11/07 この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000102
2025-11-07
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-11-06
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/06 最終更新日:2025/11/06 JVN#95942191 GROWIにおける格納型クロスサイトスクリプティングの脆弱性 株式会社GROWIが提供するGROWIには、格納型クロスサイトスクリプティングの脆弱性が存在します。 GROWI v7.2.10より前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-61994 悪意を持ったユーザーが細工されたコンテンツを含むページを作成した場合、そのページにアクセスした他のユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.3.0 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2025/11/06 株式会社GROWI の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 山崎 啓太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-61994 JVN iPedia JVNDB-2025-000101
2025-11-06
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-11-04
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/04 最終更新日:2025/11/04 JVN#92563420 複数のRoboticsware製品における引用符で囲まれていないファイルパスの脆弱性 Roboticsware PTE. LTD.が提供する複数の製品はWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 FA-Panel6 Rev17およびそれ以前 BA-Panel6 Rev17およびそれ以前 PA-Panel6 Rev17およびそれ以前 FA-Server6 Rev17およびそれ以前 Roboticsware PTE. LTD.が提供する複数の製品には、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-64151 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 パッチを適用する 開発者は本脆弱性に対応したパッチを提供しています。 開発者が提供する情報をもとに、パッチを適用してください。 ベンダ リンク Roboticsware PTE. LTD. サービス登録パスに関する脆弱性 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-64151 JVN iPedia JVNDB-2025-000100
2025-11-04
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/04 最終更新日:2025/11/04 JVN#81917433 Optical Disc Archive Software (Windows版)における引用符で囲まれていないファイルパスの脆弱性 ソニー株式会社が提供するOptical Disc Archive Software (Windows版)はWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 Optical Disc Archive Software (Windows版)、1.0.0から5.5.2までのバージョン ソニー株式会社が提供するOptical Disc Archive Software (Windows版)には、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-62225 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク ソニー株式会社 ドライブソフトウェア|Optical Disc Archive Software この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-62225 JVN iPedia JVNDB-2025-000098
2025-11-04
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/11/04 最終更新日:2025/11/04 JVN#11276793 Progress Flowmonにおける認証後に実行されるOSコマンドインジェクションの脆弱性 Progress Software Corporationが提供するProgress Flowmonには、認証後に実行されるOSコマンドインジェクションの脆弱性が存在します。 Progress Flowmon 12.5.5より前のバージョン Progress Software Corporationが提供するProgress Flowmonには、次の脆弱性が存在します。 認証後に実行されるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-10239 認証された管理者権限を持つユーザによって、追加の意図しないコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ソフトウェアを最新版へアップデートしてください。 ベンダ リンク Progress Software Corporation Can CVE-2025-10239 affect Progress Flowmon appliance? Release Notes Version 12.5 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティbyイエラエ 川根健太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000099
2025-10-31
Threat Intelligence
IPA THREAT_INTEL
危険度: info
緊急度: medium
2025-10-31
Threat Intelligence
IPA THREAT_INTEL
危険度: info
緊急度: medium
2025-10-29
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/29 最終更新日:2025/10/29 JVN#23394606 WTW EAGLE(Windows版)のインストーラにおけるDLL読み込みに関する脆弱性 株式会社 塚本無線が提供するWTW EAGLE(Windows版)のインストーラにはDLL読み込みに関する脆弱性が存在します。 WTW EAGLE(Windows版)3.0.8.0 株式会社 塚本無線が提供するWTW EAGLE(Windows版)のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-62776 インストーラを実行している権限で、任意のコードを実行される可能性があります。 問題の起きないバージョンを使用する 開発者が提供する情報をもとに、WTW EAGLE(Windows版)バージョン 1.7.6.4 を使用してください。 ベンダ リンク 株式会社 塚本無線 WTW EAGLE(イーグル)アプリをPCで見る方法 Windows版 Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-62776 JVN iPedia JVNDB-2025-000096
2025-10-28
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/28 最終更新日:2025/10/28 JVN#00021602 プラネックス製MZK-DP300Nにおけるハードコードされた認証情報の使用の脆弱性 プラネックスコミュニケーションズ株式会社が提供するMZK-DP300Nには、ハードコードされた認証情報の使用の脆弱性が存在します。 MZK-DP300N バージョン 1.07およびそれ以前 プラネックスコミュニケーションズ株式会社が提供するMZK-DP300Nには、次の脆弱性が存在します。 ハードコードされた認証情報の使用(CWE-798) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2025-62777 当該デバイスのLAN側ネットワークに接続している機器からtelnet接続され、任意のコマンドを実行される。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ プラネックスコミュニケーションズ株式会社 該当製品あり 2025/10/28 プラネックスコミュニケーションズ株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 岩崎利己 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-62777 JVN iPedia JVNDB-2025-000095
2025-10-27
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-10-24
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/24 最終更新日:2025/10/24 JVN#20611740 プリザンターにおける複数の格納型クロスサイトスクリプティングの脆弱性 株式会社インプリムが提供するプリザンターには、複数の格納型クロスサイトスクリプティングの脆弱性が存在します。 プリザンター 1.4.20.0およびそれ以前のバージョン 開発者によると、Commnunity EditionおよびEnterprise Editionのいずれも本脆弱性の影響を受けるとのことです。 株式会社インプリムが提供するプリザンターには、次に挙げる複数の格納型クロスサイトスクリプティングの脆弱性が存在します。 添付ファイル項目のプレビュー機能における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-58070 内容、説明項目およびコメント項目における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-61931 当該製品にログインした状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性はバージョン1.4.21.0で修正されています。 ベンダ リンク 株式会社インプリム プリザンターにおけるクロスサイトスクリプティングの脆弱性 CVE-2025-58070 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:日本IBM X-Force Red 白橋 朋弥 氏 CVE-2025-61931 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 柳生 航平 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58070 CVE-2025-61931 JVN iPedia JVNDB-2025-000093
2025-10-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/22 最終更新日:2025/10/22 JVN#46526244 GROWIにおけるクロスサイトスクリプティングの脆弱性 株式会社GROWIが提供するGROWIには、クロスサイトスクリプティングの脆弱性が存在します。 GROWI v4.2.7およびそれ以前 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 ページアラート機能における反射型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-54806 当該製品にアクセスしている状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v4.2.8 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2025/10/22 株式会社GROWI の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-54806 JVN iPedia JVNDB-2025-000084
2025-10-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/22 最終更新日:2025/12/10 JVN#03295012 複数のアイ・オー・データ製NAS管理アプリケーションにおける引用符で囲まれていないファイルパスの脆弱性 株式会社アイ・オー・データ機器が提供する複数のNAS管理アプリケーションはWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 NarSuSアプリ Ver.2.33より前のバージョン クローン for Windows Ver2.36より前のバージョン これらアプリケーションは、複数の製品シリーズで提供されています。詳細は、開発者の提供する情報を確認してください。 株式会社アイ・オー・データ機器が提供する複数のNAS管理アプリケーションには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-61865 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社アイ・オー・データ機器 該当製品あり 2025/12/04 株式会社アイ・オー・データ機器 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-61865 JVN iPedia JVNDB-2025-000091 2025/12/10 「クローン for Windows」の情報を追加し、株式会社アイ・オー・データ機器のベンダステータスが更新されました
2025-10-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/22 最終更新日:2025/10/22 JVN#24333679 Movable Typeにおける複数の格納型クロスサイトスクリプティングの脆弱性 シックス・アパート株式会社が提供するMovable Typeには、複数の格納型クロスサイトスクリプティングの脆弱性が存在します。 Movable Type ソフトウェア版 Movable Type / Movable Type Advanced 8.4.0から8.4.3まで(8.4系) 8.0.0から8.0.7まで(8.0系) 7 r.5509 およびそれ以前(7系) Movable Type Premium / Movable Type Premium(Advanced Edition) 2.10およびそれ以前(2系) 1.67およびそれ以前(1系) Movable Type クラウド版 Movable Type 8.7.0(8系) 7 r.5509(7系) Movable Type Premium 2.10(2系) 1.67(1系) シックス・アパート株式会社が提供するMovable Typeには、次に挙げる複数の格納型クロスサイトスクリプティングの脆弱性が存在します。 コンテンツデータの編集画面における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8 CVE-2025-54856 コンテンツタイプのカテゴリセット編集画面における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8 CVE-2025-62499 「コンテンツタイプの管理」権限を持ったユーザによって細工された入力が保存された場合、次のような影響を受ける可能性があります。 コンテンツデータの編集画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-54856) コンテンツタイプのカテゴリセット編集画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-62499) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 Movable Type ソフトウェア版 Movable Type / Movable Type Advanced 8.8.0(8.8系) 8.4.4(8.4系) 8.0.8(8.0系) 7 r.5510(7系) Movable Type Premium / Movable Type Premium(Advanced Edition) 2.11(2系) 1.68(1系) Movable Type クラウド版 Movable Type 8.8.0(8系) 7 r.5510(7系) Movable Type Premium 2.11(2系) 1.68(1系) 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シックス・アパート株式会社 該当製品あり 2025/10/22 シックス・アパート株式会社 の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-54856 CVE-2025-62499 JVN iPedia JVNDB-2025-000090
2025-10-22
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium