Secure Gatev1.1.0新着セキュリティニュース バックナンバー
お知らせ・情報 ダッシュボード

新着セキュリティニュース バックナンバー

直近表示から外れた情報を確認できます。診断結果とは別情報として扱います。

総件数336件
表示件数50件/ページ
ページ5

Nimesa Backup and Recoveryにおける複数の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/07/07 最終更新日:2025/07/07 JVN#88251376 Nimesa Backup and Recoveryにおける複数の脆弱性 Nimesaが提供するNimesa Backup and Recoveryには、複数の脆弱性が存在します。 CVE-2025-48501 Nimesa Backup and Recovery v2.3 Nimesa Backup and Recovery v2.4 CVE-2025-53473 Nimesa Backup and Recovery v3.0.2025062305より前のバージョン Nimesa Backup and Recovery v2.3 Nimesa Backup and Recovery v2.4 開発者によると、影響を受けるバージョンは既にサポートを終了しているとのことです。 Nimesaが提供するNimesa Backup and Recoveryには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-48501 サーバサイドリクエストフォージェリ(CWE-918) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:L 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3 CVE-2025-53473 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品が動作しているサーバー上で、任意のOSコマンドを実行される(CVE-2025-48501) 内部サーバへ意図しないリクエストを送信される(CVE-2025-53473) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Nimesa AWS Marketplace: Nimesa Technology この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 川根 健太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-48501 CVE-2025-53473 JVN iPedia JVNDB-2025-000047

Active! mailにおける複数の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/07/02 最終更新日:2025/07/02 JVN#89505333 Active! mailにおける複数の脆弱性 株式会社クオリティアが提供するActive! mailには、複数の脆弱性が存在します。 CVE-2025-52462 Active! mail 6 BuildInfo: 6.30.01004145から6.60.06008562までのバージョン CVE-2025-52463 Active! mail 6 BuildInfo: 6.60.06008562およびそれ以前のバージョン 株式会社クオリティアが提供するActive! mailには、次の複数の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-52462 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 2.3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-52463 想定される影響は各脆弱性により異なりますが、当該製品にログインした状態のユーザが細工されたURLにアクセスした場合、次のような影響を受ける可能性があります。 ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2025-52462) 意図しないメールを送信させられる(CVE-2025-52463) アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 開発者によると、本脆弱性は次のバージョンで修正されています。 Active! mail 6 BuildInfo: 6.61.01008654 ベンダ リンク 株式会社クオリティア Active! mail 6の脆弱性に関する重要なお知らせ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:学習院大学 藤田 倫太朗 氏、馬場 将次 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-52462 CVE-2025-52463 JVN iPedia JVNDB-2025-000045

RICOH Streamline NXの管理ツールのヘルプドキュメントシステムにおける反射型クロスサイトスクリプティングの脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/06/30 最終更新日:2025/06/30 JVN#24333956 RICOH Streamline NXの管理ツールのヘルプドキュメントシステムにおける反射型クロスサイトスクリプティングの脆弱性 株式会社リコーが提供するRICOH Streamline NXの管理ツールのヘルプドキュメントシステムには、反射型クロスサイトスクリプティングの脆弱性が存在します。 RICOH Streamline NX バージョン 3.5.0から3.7.2まで 株式会社リコーが提供するRICOH Streamline NXの管理ツールのヘルプドキュメントシステムには、次の脆弱性が存在します。 特定のパラメータを利用した反射型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-41439 当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 RICOH Streamline NX バージョン 3.231.0(=23R1)およびそれ以降 ベンダ リンク 株式会社リコー Notice on potential impact of "Cross-Site Scripting (XSS) Vulnerability in SLNX Help Documentation via specific Parameter" (CVE-2025-41439) towards RICOH Streamline NX V3 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:Matteo Santini 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-41439 JVN iPedia JVNDB-2025-000046

iroha Boardにおける複数の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/06/26 最終更新日:2025/06/26 JVN#92520966 iroha Boardにおける複数の脆弱性 株式会社いろはソフトが提供するiroha Boardには、複数の脆弱性が存在します。 iroha Board v0.10.12およびそれ以前のバージョン 株式会社いろはソフトが提供するiroha Boardには、次の複数の脆弱性が存在します。 強制ブラウジング(CWE-425) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値 4.3 CVE-2025-41404 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-48497 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にログイン可能な攻撃者によって、非公開に設定しているコンテンツを閲覧される(CVE-2025-41404) 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、任意の学習履歴を登録させられる(CVE-2025-48497) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は本脆弱性を修正した次のバージョンをリリースしています。 iroha Board v0.10.13 ベンダ リンク 株式会社いろはソフト セキュリティ情報 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 東内 裕二 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-41404 CVE-2025-48497 JVN iPedia JVNDB-2025-000043

複数のApache製品におけるサービス運用妨害(DoS)の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/06/26 最終更新日:2025/06/26 JVN#09924566 複数のApache製品におけるサービス運用妨害(DoS)の脆弱性 The Apache Software Foundationが提供する複数の製品には、サービス運用妨害(DoS)の脆弱性が存在します。 CVE-2025-48976 Apache Commons FileUpload 1.0から1.6より前 Apache Commons FileUpload 2.0.0-M1から2.0.0-M4より前 CVE-2025-48988 なお、TomcatはCommons FileUploadのフォークを含むため、下記のバージョンにおいてはCVE-2025-48976の影響も受けます。 Apache Tomcat 11.0.0-M1から11.0.7まで Apache Tomcat 10.1.0-M1から10.1.41まで Apache Tomcat 9.0.0.M1から9.0.105まで The Apache Software Foundationが提供する複数の製品には、次の脆弱性が存在します。 制限または調整なしのリソースの割り当て(CWE-770) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3 CVE-2025-48976、CVE-2025-48988 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 制限が不十分なマルチパートヘッダーへのリソースの割り当てによって、サービス運用妨害(DoS)状態となる(CVE-2025-48976) 制限あるいは調整のないリソースの割り当てによって、サービス運用妨害(DoS)状態となる(CVE-2025-48988) アップデートする 開発者が提供する情報をもとに、以下のバージョンへアップデートしてください。 CVE-2025-48976 Apache Commons FileUpload 1.6およびそれ以降 Apache Commons FileUpload 2.0.0-M4およびそれ以降 CVE-2025-48988 Apache Tomcat 11.0.8およびそれ以降 Apache Tomcat 10.1.42およびそれ以降 Apache Tomcat 9.0.106およびそれ以降 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク The Apache Software Foundation CVE-2025-48976: Apache Commons FileUpload, Apache Commons FileUpload: FileUpload DoS via part headers [SECURITY] CVE-2025-48988 Apache Tomcat - DoS in multipart upload Fixed in Apache Tomcat 11.0.8 Fixed in Apache Tomcat 10.1.42 Fixed in Apache Tomcat 9.0.106 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:NTTデータグループ TERASOLUNA Framework セキュリティチーム JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000044

GROWIにおける非効率な正規表現の使用

Threat Intelligence JVN THREAT_INTEL 危険度: info 緊急度: medium

公開日:2025/06/24 最終更新日:2025/06/24 JVN#21624250 GROWIにおける非効率な正規表現の使用 株式会社GROWIが提供するGROWIには非効率な正規表現を使用して入力を処理している箇所があり、細工された入力によってサービス運用妨害(DoS)状態を引き起こされる可能性があります。 GROWI v7.1.6より前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 非効率な正規表現の使用(CWE-1333) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 基本値 4.3 CVE-2025-43880 当該製品にログインしたユーザによって、サービス運用妨害(DoS)状態を引き起こされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.1.6 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2025/06/24 ベンダ リンク 株式会社GROWI fix: Error when creating pages with deep hierarchy #9487 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社FFRIセキュリティ 岡本 崇典 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-43880 JVN iPedia JVNDB-2025-000042

エレコム製無線LANルータにおける複数の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/06/24 最終更新日:2026/02/03 JVN#39435597 エレコム製無線LANルータにおける複数の脆弱性 エレコム株式会社が提供する無線LANルータには、複数の脆弱性が存在します。 CVE-2025-36519 WRC-2533GST2 v1.31およびそれ以前のバージョン WRC-2533GS2V-B v1.69およびそれ以前のバージョン WRC-2533GS2-B v1.69およびそれ以前のバージョン WRC-2533GS2-W v1.69およびそれ以前のバージョン WRC-1167GST2 v1.34およびそれ以前のバージョン WRC-1167GS2-B v1.74およびそれ以前のバージョン WRC-1167GS2H-B v1.74およびそれ以前のバージョン CVE-2025-41427 WRC-X3000GS v1.0.34およびそれ以前のバージョン WRC-X3000GSA v1.0.34およびそれ以前のバージョン WRC-X3000GSN v1.0.9およびそれ以前のバージョン CVE-2025-43877 WRC-1167GHBK2-S すべてのバージョン CVE-2025-43879、CVE-2025-48890 WRH-733GBK すべてのバージョン WRH-733GWH すべてのバージョン エレコム株式会社が提供する無線LANルータには、次の複数の脆弱性が存在します。 アップロードファイルの検証不備(CWE-434) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-36519 接続確認画面におけるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2025-41427 Web管理画面における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-43877 telnet機能におけるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-43879 miniigd SOAPサービスにおけるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-48890 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にログイン可能な攻撃者によって特別に細工されたファイルをアップロードされた場合、任意のコードを実行される(CVE-2025-36519) 当該製品にログインしたユーザによって細工されたリクエストを送信された場合、任意のOSコマンドを実行される(CVE-2025-41427) 当該製品のWeb管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-43877) 当該製品に細工されたリクエストを送信された場合、任意のOSコマンドを実行される(CVE-2025-43879、CVE-2025-48890) CVE-2025-36519、CVE-2025-41427 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 CVE-2025-43877 現行製品の利用を停止し、後継製品に乗り換える 開発者によると、当該製品はすでにサポートが終了しているとのことです。後継製品への乗り換え等を検討してください。 後継製品への乗り換えまでの間、次のワークアラウンドを適用することで、本脆弱性の影響を軽減することができます。 Web管理画面のログインパスワードを変更する Web管理画面にログインしている間、他のウェブサイトにアクセスしない Web管理画面での操作終了後は、ウェブブラウザを終了する ウェブブラウザに保存されたWeb管理画面のログインパスワードを削除する CVE-2025-43879、CVE-2025-48890 現行製品の利用を停止し、後継製品に乗り換える 開発者によると、当該製品はすでにサポートが終了しているとのことです。後継製品への乗り換え等を検討してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エレコム株式会社 該当製品あり 2026/01/28 エレコム株式会社 の告知ページ CVE-2025-36519 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:Tien Phan 氏 CVE-2025-41427 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:IssueHunt株式会社 湯澤 凱貴 氏 CVE-2025-43877 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:NECフィールディング株式会社 河内 愛実 氏、日本電気株式会社 外山 拓 氏 CVE-2025-43879、CVE-2025-48890 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ゼロゼロワン 早川 宙也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-36519 CVE-2025-41427 CVE-2025-43877 CVE-2025-43879 CVE-2025-48890 JVN iPedia JVNDB-2025-000041 2026/02/03 エレコム株式会社のベンダステータスが更新されました 2026/02/03 [影響を受けるシステム]を更新しました

KAON製KCM3100における代替パスを使用した認証回避の脆弱性

Threat Intelligence JVN CVE 危険度: medium 緊急度: medium

公開日:2025/06/18 最終更新日:2025/06/18 JVN#46288336 KAON製KCM3100における代替パスを使用した認証回避の脆弱性 KAONが提供するKCM3100には、代替パスを使用した認証回避の脆弱性が存在します。 KAON KCM3100 Ver1.4.2およびそれ以前 KAONが提供するKCM3100は、Wi-Fi対応ゲートウェイです。KCM3100には、次の脆弱性が存在します。 代替パスを使用した認証回避(CWE-288) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-51381 製品のLAN側ネットワークから、当該製品の認証を回避する攻撃を受ける可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ベンダ リンク JCOM株式会社 KAON社製ケーブルモデム機能改善のお知らせ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:松村 波彦 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-51381 JVN iPedia JVNDB-2025-000040