2025-10-20
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/20 最終更新日:2025/10/21 JVN#86318557 LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性 緊急 エムオーテックス株式会社が提供するLANSCOPE エンドポイントマネージャー オンプレミス版には、通信チャネルの送信元検証不備に起因して任意のコード実行が可能となる脆弱性が存在します。 LANSCOPE エンドポイントマネージャー オンプレミス版 Ver.9.4.7.1およびそれ以前 クライアントプログラム(MR) 検知エージェント(DA) なお、LANSCOPE エンドポイントマネージャー クラウド版は本脆弱性の影響を受けません。 エムオーテックス株式会社が提供するLANSCOPE エンドポイントマネージャー オンプレミス版には、次の脆弱性が存在します。 通信チャネルの送信元検証不備(CWE-940) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-61932 開発者によると、顧客環境において外部より不正なパケットを受信する事例が確認されているとのことです。 攻撃者によって細工されたパケットを受信することにより、当該製品上で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、対策版へアップデートしてください。 ワークアラウンドを実施する 開発者はアップデートを適用するまでの間、ワークアラウンドの適用を推奨しています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク エムオーテックス株式会社 【重要なお知らせ】LANSCOPE エンドポイントマネージャー オンプレミス版におけるリモートでコードが実行される脆弱性について (CVE-2025-61932) JPCERT/CC CyberNewsFlash 2025-10-20LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性(CVE-2025-61932)について この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-61932 JVN iPedia JVNDB-2025-000088 2025/10/20 [参考情報]を更新しました 2025/10/21 [影響を受けるシステム]、[対策方法]を更新しました
2025-10-20
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/20 最終更新日:2025/10/20 JVN#44266462 ETERNUS SF製品における不適切なファイルアクセス権設定の脆弱性 エフサステクノロジーズ株式会社が提供するETERNUS SF製品には、不適切なファイルアクセス権設定の脆弱性が存在します。 Solaris 10/ 11向け ETERNUS SF AdvancedCopy Manager Standard Edition バージョン 15.0/ 15.1/ 15.2/ 15.3/ 16.0/ 16.1/ 16.2/ 16.3/ 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 ETERNUS SF Storage Cruiser バージョン 15.0/ 15.1/ 15.2/ 15.3/ 16.0/ 16.1/ 16.2/ 16.3/ 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 RHEL 7/ 8/ 9向け ETERNUS SF AdvancedCopy Manager Standard Edition バージョン 16.2/ 16.3/ 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 ETERNUS SF Express バージョン 16.2/ 16.3/ 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 ETERNUS SF Storage Cruiser バージョン 16.2/ 16.3/ 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 Windows Server 2016/ 2019/ 2022向け ETERNUS SF AdvancedCopy Manager Standard Edition バージョン 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 ETERNUS SF Express バージョン 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 ETERNUS SF Storage Cruiser バージョン 16.4/ 16.5/ 16.6/ 16.7/ 16.8/ 16.9/ 16.9.1 エフサステクノロジーズ株式会社が提供するETERNUS SFには、次の脆弱性が存在します。 不適切なファイルアクセス権の設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 基本値 8.8 CVE-2025-62577 運用管理サーバにアクセス可能な一般ユーザにデータベース認証情報を取得され、結果として管理者権限でOSコマンドを実行される可能性があります。 パッチを適用する 開発者が提供する情報をもとに、修正パッチを適用してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エフサステクノロジーズ株式会社 該当製品あり 2025/10/20 エフサステクノロジーズ株式会社 の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-62577 JVN iPedia JVNDB-2025-000092
2025-10-20
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2025-10-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/17 最終更新日:2025/10/17 JVN#61182380 AutoDownloaderのインストーラにおけるDLL読み込みに関する脆弱性 パナソニックコネクト株式会社が提供するAutoDownloaderのインストーラには、DLL読み込みに関する脆弱性が存在します。 AutoDownloader Ver1.2.8 パナソニックコネクト株式会社が提供するAutoDownloaderのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-11223 インストーラを実行している権限で、任意のコードを実行される可能性があります。 当該インストーラを実行しない 当該製品の配布はすでに終了しています。使用中の端末にインストーラファイルが存在している場合は、当該インストーラを削除してください。 なお、開発者は後継製品「AutoDownloaderLite」への移行を推奨しています。 ベンダ リンク パナソニック コネクト株式会社 AutoDownloaderの脆弱性について(PDF) Auto Downloader Lite Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000089
2025-10-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/16 最終更新日:2025/10/16 JVN#13030751 ChatLuckにおける複数の脆弱性 株式会社ネオジャパンが提供するChatLuckには、複数の脆弱性が存在します。 CVE-2025-53858、CVE-2025-54461 ChatLuck V6.6 R2.0およびそれ以前のバージョン CVE-2025-58115 ChatLuck V3.6 R1.0からV6.6 R1.0までのバージョン なお、クラウド版もこれらの脆弱性の影響を受けます。 株式会社ネオジャパンが提供するChatLuckには、次の複数の脆弱性が存在します。 「チャットルーム」におけるクロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-53858 ゲストユーザ招待機能におけるアクセス制限不備(CWE-1220) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3 CVE-2025-54461 「ゲストユーザ登録」におけるクロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-58115 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-53858、CVE-2025-58115) 本来ゲストユーザとして招待されていない第三者によって、ゲストユーザ登録をされる(CVE-2025-54461) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 各脆弱性は、次のバージョンで修正されています。 CVE-2025-53858、CVE-2025-54461 ChatLuck V6.7 R1.0 CVE-2025-58115 ChatLuck V6.6 R2.0 なお、クラウド版は2025年10月3日のメンテナンスで修正済みです。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社ネオジャパン 該当製品あり 2025/10/16 株式会社ネオジャパン の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53858 CVE-2025-54461 CVE-2025-58115 JVN iPedia JVNDB-2025-000076
2025-10-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/16 最終更新日:2025/10/16 JVN#90757550 desknet's NEOにおける複数の脆弱性 株式会社ネオジャパンが提供するdesknet's NEOには、複数の脆弱性が存在します。 CVE-2025-24833 desknet's NEO V4.0R1.0からV9.0R2.0まで CVE-2025-52583 desknet's Web Server CVE-2025-54760、CVE-2025-54859 desknet's NEO V9.0R2.0およびそれ以前 CVE-2025-55072 desknet's NEO V2.0R1.0からV9.0R2.0まで CVE-2025-58079、CVE-2025-58426 desknet's NEO V4.0R1.0からV9.0R2.0まで なお、クラウド版もこれらの脆弱性の影響を受けます。 株式会社ネオジャパンが提供するdesknet's NEOには、次の複数の脆弱性が存在します。 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-24833、CVE-2025-54760、CVE-2025-55072 反射型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-52583 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8 CVE-2025-54859 AppSuiteのアプリ作成機能における代替パスの不適切な保護(CWE-424) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-58079 ハードコードされた暗号鍵の使用(CWE-321) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/ 基本値 4.3 CVE-2025-58426 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にアクセスしている状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2025-24833、CVE-2025-52583、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072) 当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される(CVE-2025-58079、CVE-2025-58426) CVE-2025-24833、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072、CVE-2025-58079、CVE-2025-58426向け対策: アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 CVE-2025-52583向け対策: desknet's Web Serverの使用を中止し、IISに移行する desknet’s Web Serverの使用を中止し、Internet Information Services(IIS)に移行してください。 なお、クラウド版は2025年10月3日のメンテナンスで修正済みです。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社ネオジャパン 該当製品あり 2025/10/16 株式会社ネオジャパン の告知ページ これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 CVE-2025-24833 報告者:GMOサイバーセキュリティ byイエラエ株式会社 小田切祥 氏 CVE-2025-52583、CVE-2025-54760 報告者:佐藤 竜 氏 CVE-2025-54859 報告者:佐藤 竜 氏、小畑 太治郎 氏 CVE-2025-55072、CVE-2025-58079、CVE-2025-58426 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-24833 CVE-2025-52583 CVE-2025-54760 CVE-2025-54859 CVE-2025-55072 CVE-2025-58079 CVE-2025-58426 JVN iPedia JVNDB-2025-000074
2025-10-16
Threat Intelligence
JVN
THREAT_INTEL
危険度: info
緊急度: medium
公開日:2025/10/16 最終更新日:2025/10/16 JVN#72648885 Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題 Ruijie Networksが提供するRG-EST300には、SSHサーバー機能が実装されていますがマニュアルには記載されておらず、さらに初期設定で有効になっています。 RG-EST300 AP_3.0(1)B2P18_EST300_06210514 AP_3.0(1)B2P10_EST300_06151523 AP_3.0(1)B2P10_EST300_05232216 AP_3.0(1)B2P10_EST300_05220814 開発者によると、本製品は既にサポートを終了しているとのことです。 Ruijie Networksが提供するRG-EST300には、SSHサーバー機能が実装されていますがマニュアルには記載されておらず、さらに初期設定で有効になっています。 非公開機能を悪用される問題(CWE-912) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-58778 認証情報を知っていれば、当該機器にログイン可能です。その結果、システム内の情報漏洩、システムの改ざん、サービス運用妨害(DoS)攻撃等が行われる可能性があります。 現行製品の利用を停止し、後継製品に乗り換える 開発者によると、当該製品はすでにサポートが終了しているとのことです。後継製品への乗り換え等を検討してください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク Ruijie Networks Co., Ltd. 锐捷睿易网桥EST300存在安全漏洞(簡体字中国語) Product Life Cycle Policy この脆弱性情報は、下記の方が、製品開発者に直接報告し製品開発者との調整を経て、情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:横浜国立大学 九鬼琉 氏、宮本岩麒 氏、佐々木貴之 氏、吉岡克成 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58778 JVN iPedia JVNDB-2025-000087
2025-10-15
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/15 最終更新日:2025/10/15 JVN#42282226 Phoenix Contact CHARX SEC-3xxxにおけるコードインジェクションの脆弱性 Phoenix Contactが提供するCHARX SEC-3xxxには、コードインジェクションの脆弱性が存在します。 CHARX SEC-3150 Firmware 1.7.4より前のバージョン CHARX SEC-3100 Firmware 1.7.4より前のバージョン CHARX SEC-3050 Firmware 1.7.4より前のバージョン CHARX SEC-3000 Firmware 1.7.4より前のバージョン Phoenix Contactが提供するCHARX SEC-3xxxには、次の脆弱性が存在します。 コードインジェクション(CWE-94) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2025-41699 Web管理画面へアクセス可能なユーザにシステム構成を変更されることにより、root権限でのコマンドインジェクションおよび不正なコード生成が引き起こされ、結果としてシステムの機密性、完全性、可用性が侵害される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ベンダ リンク Phoenix Contact Application Note Security(PDF) VDE CERTVDE-2025-074: Phoenix Contact: Security Advisory for CHARX SEC-3xxx charging controllers この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:パナソニックホールディングス株式会社 加藤遼 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000086
2025-10-15
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/15 最終更新日:2025/10/15 JVN#22713803 複数のRSUPPORT製品における安全でないDLL読み込みの脆弱性 RSUPPORT株式会社が提供する複数の製品には、安全でないDLL読み込みの脆弱性が存在します。 CVE-2025-26859 RemoteView PCアプリケーションコンソール 6.0.2より前のバージョン CVE-2025-26860 RemoteCall Agent プログラム(サポートをする側(オペレーター))5.1.0より前のバージョン CVE-2025-26861 RemoteCall Agent プログラム(サポートをする側(オペレーター))5.3.0より前のバージョン RSUPPORT株式会社が提供する複数の製品には、次の複数の脆弱性が存在します。 RemoteView PCアプリケーションコンソールにおけるファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-26859 RemoteCall Agent プログラム(サポートをする側(オペレーター))におけるファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-26860、CVE-2025-26861 攻撃者によって細工されたDLLを特定のフォルダに格納された場合、任意のコードを実行される可能性があります。 製品開発者は2017年に本件の対策を⾏った以下のバージョンをリリースしています。 CVE-2025-26859 RemoteView PCアプリケーションコンソール 6.0.2 CVE-2025-26860 RemoteCall Agent プログラム(サポートをする側(オペレーター))5.1.0 CVE-2025-26861 RemoteCall Agent プログラム(サポートをする側(オペレーター))5.3.0 自動アップデートの仕組みにより常に最新バージョンにアップグレードされるため、ユーザー側での操作は不要です。 CVE-2025-26859の影響を受ける「RemoteView PCアプリケーションコンソール」は、2023年1⽉31⽇にサービスが終了しています。 ベンダ リンク RSUPPORT株式会社 PCアプリケーションコンソールサービス終了のご案内 - 2023.01.31 RemoteCall ダウンロード 本件は、2017年にIPAに報告され、JPCERT/CCが製品開発者との調整を開始しました。 製品開発者は2017年に本件の対策を行ったバージョンをリリースしています。 JPCERT/CCと製品開発者との調整は2025年に完了し、本JVNの公表に至りました。 CVE-2025-26859 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:吉田 英二(Eiji James Yoshida)氏 CVE-2025-26860、CVE-2025-26861 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:英利 雅美 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-26859 CVE-2025-26860 CVE-2025-26861 JVN iPedia JVNDB-2025-000085
2025-10-10
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/10 最終更新日:2025/10/10 JVN#69099112 バッファロー製NAS Navigator2における引用符で囲まれていないファイルパスの脆弱性 株式会社バッファローが提供するNAS Navigator2はWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 NAS Navigator2(Windows版のみ)Ver.3.12.0より前のバージョン 株式会社バッファローが提供するNAS Navigator2には、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-61871 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社バッファロー 該当製品あり 2025/10/10 株式会社バッファロー の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-61871 JVN iPedia JVNDB-2025-000083
2025-10-06
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/10/06 最終更新日:2025/10/06 JVN#95806263 複数のデンソーテン製ドライブレコーダビューアのインストーラにおける任意のDLL読み込みの脆弱性 株式会社デンソーテンが提供する複数のドライブレコーダビューアのインストーラには、DLL読み込みに関する脆弱性が存在します。 複数の製品に影響があります。 影響を受ける製品などの詳細は、開発者が提供する情報を確認してください。 株式会社デンソーテンが提供する複数のドライブレコーダビューアのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-57781 細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受けます インストーラを実行している権限で、任意のコードを実行される可能性があります。 最新のインストーラを使用する 開発者から本脆弱性を修正したインストーラが提供されています。製品をインストールする際は最新版のインストーラを使用してください。 ベンダ リンク 株式会社デンソーテン ドライブレコーダービューア(Windowsソフトウェア)セキュリティ上の問題(脆弱性)について Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 Japan Vulnerability Notes JVN#72748502IExpress で作成された自己解凍書庫における DLL 読み込みに関する脆弱性 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:エムオーテックス株式会社 内藤 猛 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-57781 JVN iPedia JVNDB-2025-000082
2025-09-29
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/29 最終更新日:2025/10/07 JVN#23423519 DataSpider ServistaにおけるXML外部実体参照(XXE)に関する脆弱性 株式会社セゾンテクノロジーが提供するDataSpider Servistaには、XML外部実体参照(XXE)に関する脆弱性が存在します。 DataSpider Servista 4.4 およびそれ以前のバージョン 開発者によると、DataSpider ServistaのOEM製品の一部も本脆弱性の影響を受けるとのことです。 対象となる製品およびバージョンの情報は、本JVNアドバイザリの[ベンダ情報]から確認してください。 株式会社セゾンテクノロジーが提供するDataSpider Servistaは、データ連携ソフトウェアです。 DataSpider Servistaには、次の脆弱性が存在します。 XML外部実体参照(XXE)に関する脆弱性(CWE-611) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 8.8 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L 基本値 8.2 CVE-2025-48006 細工されたリクエストを処理することで、当該製品のサーバアプリケーションがインストールされたファイルシステム上の任意のファイルを読み取られたり、サービス運用妨害(DoS)状態を引き起こされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 ベンダ リンク 株式会社セゾンテクノロジー DataSpider Servista に含まれる XML 外部実体参照 (XXE) 脆弱性のお知らせ(PDF) 株式会社テラスカイ DCSpiderに含まれるXML外部実体参照(XXE)脆弱性に関するお知らせ(PDF) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社サイバーディフェンス研究所 津野田 茂明 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-48006 JVN iPedia JVNDB-2025-000081 2025/10/07 [影響を受けるシステム]および[ベンダ情報]を更新しました
2025-09-18
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/18 最終更新日:2025/09/18 JVN#95938761 UNIVERGE IX/IX-R/IX-Vシリーズルータにおけるクロスサイトスクリプティングの脆弱性 日本電気株式会社が提供するUNIVERGE IX/IX-R/IX-Vシリーズルータには、クロスサイトスクリプティングの脆弱性が存在します。 UNIVERGE IXシリーズ UNIVERGE IX-R/IX-Vシリーズ 影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を確認してください。 日本電気株式会社が提供するUNIVERGE IX/IX-R/IX-Vシリーズルータには、次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2025-8153 ユーザが細工されたURLにアクセスした場合、ユーザのブラウザ上で任意のスクリプトが実行される可能性があります。 さらに、ユーザがUNIVERGE IXシリーズ製品のWebGUIにログインしている状態だった場合には、ブラウザ上で実行されるスクリプトから当該製品へのアクセスによって、ユーザの権限で実行可能な任意のCLIコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ソフトウェアのアップデートを行ってください。 ワークアラウンドを実施する アップデートを適用できない場合、次の回避策を適用してください。 WebGUIを無効にする 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2025/09/18 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:GMO Flatt Security株式会社 RyotaK 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000079
2025-09-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/17 最終更新日:2025/09/17 JVN#84697061 Century HW RAID Managerにおける引用符で囲まれていないファイルパスの脆弱性 株式会社センチュリーが提供するRAID Managerは、Windowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 RAID Manager 2025年9月1日より前に開発者のサイトから提供されていたものが影響を受けます。 株式会社センチュリーが提供するRAID Managerには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-59307 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、2025年9月1日に本件の対策を行ったバージョンをリリースしています。 ベンダ リンク 株式会社センチュリー 裸族のインテリジェントビルシリーズ RAID Managerの脆弱性に関するお知らせ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-59307 JVN iPedia JVNDB-2025-000078
2025-09-12
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/12 最終更新日:2025/09/12 JVN#89109713 スマートフォンアプリ「WTW-EAGLE」におけるサーバ証明書の検証不備の脆弱性 株式会社 塚本無線が提供するスマートフォンアプリ「WTW-EAGLE」には、サーバ証明書の検証不備の脆弱性が存在します。 iOS アプリ「WTW-EAGLE」4.4.1より前のバージョン Android アプリ「WTW-EAGLE」4.4.0.10より前のバージョン 株式会社 塚本無線が提供するスマートフォンアプリ「WTW-EAGLE」には、次の脆弱性が存在します。 サーバ証明書の検証不備(CWE-295) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値 4.8 CVE-2025-58781 中間者攻撃(man-in-the-middle attack)による暗号通信の盗聴などが行なわれる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク 株式会社 塚本無線 WTW-EAGLE(iOS向け) WTW-EAGLE(Android向け) 無線LANのアクセスポイントを設置した第三者によって中間者攻撃(man-in-the-middle attack)が行われることを想定し、CVSSの値を評価しています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58781 JVN iPedia JVNDB-2025-000048
2025-09-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-09-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-09-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/08 最終更新日:2025/09/24 JVN#75307484 RICOH Streamline NXにおける操作履歴の改ざんにつながる脆弱性 株式会社リコーが提供するRICOH Streamline NXには、操作履歴の改ざんにつながる脆弱性が存在します。 RICOH Streamline NX バージョン 3.5.1から24R3まで 株式会社リコーが提供するRICOH Streamline NXには、次の脆弱性が存在します。 信頼性の低い情報源の利用(CWE-348) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 2.3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 3.1 CVE-2025-58422 中間者攻撃が可能な攻撃者によりHTTPリクエストの値を改ざんされることにより、当該製品の管理ツールの実行履歴が改ざんされる可能性があります。 アップデートする 開発者が提供する情報をもとに最新版へアップデートしてください。 ワークアラウンドを実施する HTTPSを有効化し暗号化された通信を行うことで、本脆弱性の影響を軽減することが可能です。 ベンダ リンク 株式会社リコー Notice on potential impact of "Vulnerability in the RICOH Streamline NX Administration Tool Allowing Tampering of Operation History" towards RICOH Streamline NX V3 この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58422 JVN iPedia JVNDB-2025-000077 2025/09/24 [謝辞]を修正しました
2025-09-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/05 最終更新日:2025/09/05 JVN#98737186 RATOC RAID監視マネージャー(Windows用)における引用符で囲まれていないファイルパスの脆弱性 ラトックシステム株式会社が提供するRATOC RAID監視マネージャー(Windows用)はWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 RATOC RAID監視マネージャー(Windows用)Ver.2.00.09.250820より前のバージョン ラトックシステム株式会社が提供するRATOC RAID監視マネージャー(Windows用)には、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-58400 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク ラトックシステム株式会社 RAID監視マネージャーの脆弱性に関するおしらせ RATOC RAID監視マネージャー(Windows用) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58400 JVN iPedia JVNDB-2025-000073
2025-09-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/05 最終更新日:2025/09/05 JVN#41633999 Obsidian GitHub Copilot Pluginにおける重要情報の平文保存の脆弱性 Pierre-Adrien Vasseurが提供するObsidian GitHub Copilot Pluginには、重要情報の平文保存の脆弱性が存在します。 Obsidian GitHub Copilot Plugin 1.1.7より前のバージョン Pierre-Adrien Vasseurが提供するObsidian GitHub Copilot Pluginには、次の脆弱性が存在します。 重要情報の平文保存(CWE-312) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:L/SA:L 基本値 5.1 CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L 基本値 6.8 CVE-2025-58401 攻撃者に当該プラグインが利用するGitHub APIトークンを取得され、連携するGitHubアカウントにおいて不正な操作をされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Pierre-Adrien Vasseur Release 1.1.7 obsidian-github-copilot この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:中島 琉生 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58401 JVN iPedia JVNDB-2025-000072
2025-09-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/05 最終更新日:2025/09/05 JVN#35290164 Androidアプリ「Yahoo!ショッピング」におけるアクセス制限不備の脆弱性 LINEヤフー株式会社が提供するAndroidアプリ「Yahoo!ショッピング」には、Custom URL Scheme ハンドラーにおけるアクセス制限不備の脆弱性が存在します。 Androidアプリ「Yahoo!ショッピング」 14.15.0より前のバージョン LINEヤフー株式会社が提供するAndroidアプリ「Yahoo!ショッピング」には、次の脆弱性が存在します。 Custom URL Scheme ハンドラーにおけるアクセス制限不備(CWE-939) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-41408 当該アプリ上で任意のWebページにアクセスさせられ、結果としてフィッシングの被害にあう可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ LINEヤフー株式会社 該当製品あり 2025/09/05 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ブロードバンドセキュリティ 志賀 拓馬 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-41408 JVN iPedia JVNDB-2025-000071
2025-09-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/05 最終更新日:2025/09/05 JVN#48739895 Pythonライブラリ「TkEasyGUI」における複数の脆弱性 クジラ飛行机が提供するPythonライブラリ「TkEasyGUI」には、複数の脆弱性が存在します。 TkEasyGUI v1.0.22より前のバージョン クジラ飛行机が提供するTkEasyGUIには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-55037 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-55671 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 外部からメッセージを構築する設定になっている場合、第三者によって、任意のOSコマンドを実行される(CVE-2025-55037) プログラムを実行している権限で、任意のコードを実行される(CVE-2025-55671) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク クジラ飛行机 Release v1.0.22 · kujirahand/tkeasygui-python · GitHub この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社Ikotas Labs 辻 知希 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-55037 CVE-2025-55671 JVN iPedia JVNDB-2025-000075
2025-09-03
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/03 最終更新日:2025/09/03 JVN#65839588 Web Caster V130におけるクロスサイトリクエストフォージェリの脆弱性 NTT東日本株式会社(NTT東日本)およびNTT西日本株式会社(NTT西日本)が提供するWeb Caster V130には、クロスサイトリクエストフォージェリの脆弱性が存在します。 Web Caster V130 ファームウェア Version 1.08およびそれ以前 NTT東日本およびNTT西日本が提供するWeb Caster V130は、050IP電話対応ブロードバンドルータです。Web Caster V130には、次の脆弱性が存在します。 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 2.0 CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:L 基本値 3.7 CVE-2025-58272 当該製品にログインした状態のユーザーが、攻撃者によって細工されたページにアクセスした場合、意図せず当該製品の設定を変更される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ NTT東日本株式会社 該当製品あり 2025/09/03 NTT東日本株式会社 の告知ページ NTT西日本株式会社 該当製品あり 2025/09/03 NTT西日本株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-58272 JVN iPedia JVNDB-2025-000069
2025-09-02
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/02 最終更新日:2025/09/08 JVN#47404248 スマートフォンアプリ「グノシー」における送信データへの機微な情報の挿入の脆弱性 株式会社Gunosyが提供するスマートフォンアプリ「グノシー」には、送信データへの機微な情報の挿入の脆弱性が存在します。 Androidアプリ「グノシー」7.34.0より前のバージョン iOSアプリ「グノシー」7.34.0より前のバージョン 株式会社Gunosyが提供するスマートフォンアプリ「グノシー」には、次の脆弱性が存在します。 送信データへの機微な情報の挿入(CWE-201) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値 4.3 CVE-2025-44017 攻撃者によって細工されたURLにアクセスした場合、JWT(JSON Web Token)を窃取される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社Gunosy 該当製品あり 2025/09/02 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック ZHOU YUNAO 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-44017 JVN iPedia JVNDB-2025-000070 2025/09/08 [謝辞]を更新しました
2025-09-01
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/09/01 最終更新日:2025/09/01 JVN#22016482 セイコーソリューションズ製SkyBridge BASIC MB-A130におけるOSコマンドインジェクションの脆弱性 セイコーソリューションズ株式会社が提供するSkyBridge BASIC MB-A130には、OSコマンドインジェクションの脆弱性が存在します。 SkyBridge BASIC MB-A130 Ver.1.5.8およびそれ以前のバージョン セイコーソリューションズ株式会社が提供するSkyBridge BASIC MB-A130には、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-54857 遠隔の第三者によって、root権限で任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 開発者は、本脆弱性を修正した以下のファームウェアをリリースしています。 SkyBridge BASIC MB-A130 Ver.1.6.0 ベンダ リンク セイコーソリューションズ株式会社 SkyBridge BASIC MB-A130の脆弱性と対応について この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 荒牧 努 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-54857 JVN iPedia JVNDB-2025-000068
2025-08-29
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/29 最終更新日:2025/08/29 JVN#50585992 複数のiND製品における複数の脆弱性 株式会社iNDが提供する複数の製品には、複数の脆弱性が存在します。 HL330-DLS(通信モジュールMC7700用)ファームウェアバージョン 1.03およびそれ以前 HL330-DLS(通信モジュールMC7330用)ファームウェアバージョン 2.02tおよびそれ以前 HL320-DLS(通信モジュールMC7700用)ファームウェアバージョン 1.03およびそれ以前 HL320-DLS(通信モジュールMC7330用)ファームウェアバージョン 2.02tおよびそれ以前 LM-100 ファームウェアバージョン 1.02およびそれ以前 LM-200(通信モジュールAMP570用)ファームウェアバージョン 1.02およびそれ以前 LM-200(通信モジュールEC25-J用)ファームウェアバージョン 1.05eおよびそれ以前 L2X Assist ファームウェアバージョン 2.01およびそれ以前 L2X Assist-RS-A ファームウェアバージョン 1.11およびそれ以前 L2X Assist-RS-E ファームウェアバージョン 1.12およびそれ以前 F2L Assist-SS-A ファームウェアバージョン 1.03およびそれ以前 F2L Assist-SS-E ファームウェアバージョン 1.01およびそれ以前 株式会社iNDが提供する複数の製品には、次の複数の脆弱性が存在します。 重要な情報のセキュアでない格納(CWE-922) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 7.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値 6.5 CVE-2025-53507 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2025-53508 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 管理者パスワードなどの設定情報が漏えいする(CVE-2025-53507) 任意のOSコマンドを実行され、機微な情報を取得される(CVE-2025-53508) アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 開発者によると、HL330-DLSはサポートが終了していますが、HL320-DLSと同じファームウェアのため、HL320-DLSのファームウェアでアップデート可能とのことです。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社iND 該当製品あり 2025/08/29 株式会社iND の告知ページ HL330-DLS、HL320-DLS この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 塚本 泰三 氏 LM-100、LM-200、L2X Assist、L2X Assist-RS-A、L2X Assist-RS-E、F2L Assist-SS-A、F2L Assist-SS-E この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ゼロゼロワン 早川 宙也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53507 CVE-2025-53508 JVN iPedia JVNDB-2025-000067
2025-08-27
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/27 最終更新日:2025/09/29 JVN#55678602 複数のi-フィルター製品における不適切なファイルアクセス権設定の脆弱性 デジタルアーツ株式会社が提供する複数のi-フィルター製品には、不適切なファイルアクセス権設定の脆弱性が存在します。 i-フィルター6.0 6.00.55より前のバージョン i-フィルター for マルチデバイス(Windows版のみ)6.00.55より前のバージョン i-フィルター for ZAQ(Windows版のみ)6.00.55より前のバージョン i-フィルター for ネットカフェ 6.10.55より前のバージョン i-FILTER ブラウザー&クラウド MultiAgent for Windows 4.93R11より前のバージョン 影響を受ける条件については、下記「ベンダ情報」を確認してください。 デジタルアーツ株式会社が提供する複数のi-フィルター製品には、次の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-57846 当該製品が動作するシステムにおいてサービス実行ファイルを不正なファイルに置き換えられ、結果としてSYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 アンインストールする 未契約のまま当該製品がプリインストールされている、またはライセンス契約終了後に製品がアンインストールされていない場合は、アンインストールしてください。 詳細は、開発者が提供する情報を参照してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 富士通株式会社 該当製品あり 2025/08/27 富士通株式会社 の告知ページ 株式会社オプティム 該当製品あり 2025/08/27 株式会社オプティム の告知ページ ベンダ リンク デジタルアーツ株式会社 弊社セキュリティ製品の脆弱性に関するお知らせ|i-フィルター 6.0/for マルチデバイス/for ZAQ/for ネットカフェ(PDF) 弊社セキュリティ製品の脆弱性に関するお知らせ|i-FILTER ブラウザー&クラウド MultiAgent for Windows(PDF) インヴェンティット株式会社 mobiconnect FILTERブラウザーオプション(要ログイン) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-57846 JVN iPedia JVNDB-2025-000066 2025/09/29 [ベンダ情報]を更新しました
2025-08-27
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/27 最終更新日:2025/08/27 JVN#99577552 SS1における複数の脆弱性 株式会社ディー・オー・エスが提供するSS1には、複数の脆弱性が存在します。 CVE-2025-46409、CVE-2025-52460、CVE-2025-53396、CVE-2025-53970、CVE-2025-54762、CVE-2025-54819、CVE-2025-58072、CVE-2025-58081 SS1 Ver.16.0.0.10 およびそれ以前(メディアバージョン:16.0.0a およびそれ以前) CVE-2025-52460、CVE-2025-53970、CVE-2025-54819、CVE-2025-58072 SS1クラウド Ver.2.1.3 およびそれ以前 なお、開発者によるとCVE-2025-52460、CVE-2025-53970、CVE-2025-54762はWindows環境のみ、CVE-2025-53396、CVE-2025-58072、CVE-2025-58081はMacOS環境でのみ影響を受けるとのことです。 株式会社ディー・オー・エスが提供するSS1には、次の複数の脆弱性が存在します。 不十分な暗号強度(CWE-326) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5 CVE-2025-46409 外部からアクセス可能なファイルまたはディレクトリ(CWE-552) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3 CVE-2025-52460 重要なリソースに対する不適切なアクセス権の割り当て(CWE-732) CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 7.3 CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.0 CVE-2025-53396 アップロードするファイルの検証が不十分(CWE-434) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-53970、CVE-2025-54762 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 7.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N 基本値 6.5 CVE-2025-54819 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5 CVE-2025-58072 ハードコードされたパスワードの使用(CWE-259) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5 CVE-2025-58081 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 遠隔の第三者によって、認証が必要な機能にアクセスされる(CVE-2025-46409) 遠隔の第三者によって、アップロードされたファイルやSS1の構成ファイルにアクセスされる(CVE-2025-52460) クライアント端末にログイン可能なユーザーによって、root権限へ昇格される(CVE-2025-53396) 任意のファイルをアップロードされ、SYSTEM権限で任意のOSコマンドを実行される(CVE-2025-53970、CVE-2025-54762) 遠隔の第三者によって、正規のファイルを上書きされる(CVE-2025-54819) 遠隔の第三者によって、任意のファイルを閲覧される(CVE-2025-58072) 遠隔の第三者によって、root権限で任意のファイルを閲覧される(CVE-2025-58081) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク 株式会社ディー・オー・エス 弊社製品「SS1」「SS1クラウド」の脆弱性に関するお知らせ CVE-2025-46409、CVE-2025-52460、CVE-2025-53970、CVE-2025-54762、CVE-2025-54819 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 ルスラン サイフィエフ 氏、デニス ファウストヴ 氏、川田 柾浩 氏 CVE-2025-53396、CVE-2025-58072、CVE-2025-58081 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 川田 柾浩 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-46409 CVE-2025-52460 CVE-2025-53396 CVE-2025-53970 CVE-2025-54762 CVE-2025-54819 CVE-2025-58072 CVE-2025-58081 JVN iPedia JVNDB-2025-000064
2025-08-27
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/27 最終更新日:2025/08/27 JVN#69684540 ScanSnap Managerのインストーラにおける権限昇格につながる脆弱性 株式会社PFUが提供するScanSnap Managerのインストーラには、権限昇格につながる脆弱性が存在します。 ScanSnap Managerインストーラ V6.5L61より前のバージョン 株式会社PFUが提供するScanSnap Managerのインストーラには、次の脆弱性が存在します。 不適切な権限の割り当て(CWE-266) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-57797 認証されたローカルの攻撃者によって、権限を昇格され、任意のコマンドを実行される可能性があります。 旧製品の使用を停止する、後継製品に移行する 開発者によると、当該製品はサポートを終了しているとのことです。 該当製品の使用停止および後継製品ScanSnap Homeへの移行が推奨されています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク 株式会社PFU ScanSnap Managerの提供およびサポートの終了について ScanSnap Home動作環境 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:縣和平 氏、菅賢太郎 氏、小林朝瑛 氏、冨田貴之 氏、山室良晃 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-57797 JVN iPedia JVNDB-2025-000065
2025-08-27
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-08-27
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-08-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/22 最終更新日:2025/08/22 JVN#75211379 Western Digital Kitfoxにおける引用符で囲まれていないファイルパスの脆弱性 Western Digital Corporationが提供するWestern Digital Kitfox for WindowsはWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 Western Digital Kitfox Software for Windows 1.1.1.1より前のバージョン Western Digital Corporationが提供するWestern Digital Kitfox for Windowsには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-57699 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Western Digital Corporation WDC-25004 - Western Digital Kitfox Software Version 1.1.1.1 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-57699 JVN iPedia JVNDB-2025-000063
2025-08-21
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/21 最終更新日:2025/08/21 JVN#72111431 Group-Officeにおける複数の脆弱性 Intermesh BVが提供するGroup-Officeには、複数の脆弱性が存在します。 Group-Office 6.8.119より前のバージョン Group-Office 25.0.20より前のバージョン Intermesh BVが提供するGroup-Officeには、次の複数の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2025-53504 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値 4.3 CVE-2025-53505 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ユーザのWebブラウザ上で任意のスクリプトを実行される(CVE-2025-53504) 当該製品が稼働するサーバ内部の情報が漏えいする(CVE-2025-53505) アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 ベンダ リンク Intermesh BV Group-Office open source groupware and CRM この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:田内 陸斗 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53504 CVE-2025-53505 JVN iPedia JVNDB-2025-000062
2025-08-20
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/20 最終更新日:2025/08/20 JVN#76729865 Movable Typeにおける複数の脆弱性 シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が存在します。 ソフトウェア版 Movable Type / Movable Type Advanced 8.0.0から8.0.6、8.4.0から8.4.2(8系) 7 r.5508およびそれ以前(7系) Movable Type Premium / Movable Type Premium (Advanced Edition) 2.09およびそれ以前(2系) 1.66およびそれ以前(1系) クラウド版 Movable Type 8.6.0(8系) 7 r.5508(7系) Movable Type Premium 2.09(2系) 1.66(1系) シックス・アパート株式会社が提供するMovable Typeには、次の複数の脆弱性が存在します。 信頼性の低い送信元の使用(CWE-348) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値 5.3 CVE-2025-53522 オープンリダイレクト(CWE-601) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-55706 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 改ざんされたパスワードリセットメールを送信される(CVE-2025-53522) パスワードリセット画面で不正なパラメータを挿入され、任意のURLへリダイレクトされる(CVE-2025-55706) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 Movable Type / Movable Type Advanced 8.7.0(クラウド版のみの提供) Movable Type / Movable Type Advanced 8.0.7、8.4.3(ソフトウェア版のみの提供) Movable Type / Movable Type Advanced 7 r.5509 Movable Type Premium / Movable Type Premium (Advanced Edition) 2.10 Movable Type Premium / Movable Type Premium (Advanced Edition) 1.67 詳しくは、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シックス・アパート株式会社 該当製品あり 2025/08/20 シックス・アパート株式会社 の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53522 CVE-2025-55706 JVN iPedia JVNDB-2025-000061
2025-08-19
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-08-18
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/18 最終更新日:2025/08/18 JVN#46919949 PgManageにおけるインジェクションの脆弱性 Command Prompt, Inc.が提供するPgManageには、インジェクションの脆弱性が存在します。 PgManage 1.3.1より前のバージョン Command Prompt, Inc.が提供するPgManageは、RestrictedPythonモジュールを使用しています。 PgManageが使用しているRestrictedPythonのバージョンには複数の脆弱性が存在しており、PgManageもその影響を受けます(CWE-477)。 当該製品のユーザーが、Sandboxをエスケープし任意のコードを実行する可能性があります。 アップデートする 開発者が提供する情報をもとに、PgManageを最新版へアップデートしてください。 PgManage 1.3.1では、RestrictedPythonモジュールをバージョン8.0に更新済みです。 ベンダ リンク Command Prompt, Inc. Release 1.3.1 commandprompt/pgmanage この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社SecDevLab 中谷 翔 氏 JPCERT/CCが開発者に連絡した時点では開発者は当該製品のバージョン1.3をリリース済みでした。さらに調整を進め、製品利用者に対する最新の対策情報周知を目的とする本JVNの公表について合意いただきました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000060
2025-08-14
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/14 最終更新日:2025/08/19 JVN#89385114 Seagate Toolkitにおける引用符で囲まれていないファイルパスの脆弱性 Seagate Technologyが提供するToolkitはWindowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 Toolkit バージョン 2.34.0.33より前のバージョン Seagate Technologyが提供するToolkitには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2025-9043 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Seagate Technology Product Security(CVE-2025-9043) この脆弱性情報は、下記の方が製品開発者に直接報告し、その後、情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000059 2025/08/19 「タイトル」、[影響を受けるシステム]、[詳細情報]、[ベンダ情報]を更新しました
2025-08-13
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-08-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/08 最終更新日:2025/08/08 JVN#21048820 WordPress用プラグインAdvanced Custom FieldsにおけるHTMLインジェクションの脆弱性 WPEngine, Inc.が提供するWordPress用プラグインAdvanced Custom Fieldsには、HTMLインジェクションの脆弱性が存在します。 Advanced Custom Fields 6.4.3より前のバージョン WPEngine, Inc.が提供するWordPress用プラグインAdvanced Custom Fieldsには、次の脆弱性が存在します。 HTMLインジェクション(CWE-94) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 基本値 4.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N 基本値 3.4 CVE-2025-54940 細工されたHTMLコードがレンダリングされ、ページ表示が改ざんされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク WPEngine, Inc. ACF 6.4.3 Security Release この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 熊丸 匠伍 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-54940 JVN iPedia JVNDB-2025-000058
2025-08-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/08 最終更新日:2025/08/08 JVN#39636188 ムービット製Powered BLUE 870における複数の脆弱性 株式会社ムービットが提供するPowered BLUE 870には、複数の脆弱性が存在します。 Powered BLUE 870 バージョン 0.20130927およびそれ以前 株式会社ムービットが提供するPowered BLUE 870には、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値 6.3 CVE-2025-54958 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値 4.3 CVE-2025-54959 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該システムにログイン可能なユーザにより、任意のOSコマンドを実行される(CVE-2025-54958) 当該システムにログイン可能なユーザにより、システム上の任意のファイルを取得される(CVE-2025-54959) 旧製品の使用を停止する、後継製品に移行する 開発者によると、当該製品はサポートを終了しているとのことです。 該当製品の使用停止および後継製品Powered BLUE 890への移行が推奨されています。 ベンダ リンク 株式会社ムービット Powered BLUE 890 CVE-2025-54958 この脆弱性情報は情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社サイバーディフェンス研究所 坂井 祐介 氏 CVE-2025-54959 この脆弱性情報は情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社サイバーディフェンス研究所 堀越 聡史 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-54958 CVE-2025-54959 JVN iPedia JVNDB-2025-000057
2025-08-06
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/08/06 最終更新日:2025/08/06 JVN#16547726 サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズにおける複数の脆弱性 株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、複数の脆弱性が存在します。 スキャントロニクスCL4/6NX-J Plusシリーズ ファームウェア1.15.5-r1より前のバージョン スキャントロニクスCL4/6NX Plusシリーズ(海外向けモデル)ファームウェア1.15.5-r1より前のバージョン 株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値:6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3 CVE-2025-22469 アップロードするファイルの検証が不十分(CWE-434) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値:9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-22470 脆弱性を悪用された場合、次のような影響を受ける可能性があります。 遠隔の第三者によって、システム上で特定の管理者でないユーザー権限を使用して任意のOSコマンドを実行される(CVE-2025-22469) 遠隔の第三者によって、システム上でroot権限を使用して任意のLuaスクリプトを実行される(CVE-2025-22470) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ワークアラウンドを実施する 開発者から、アップデートが適用できない場合におけるワークアラウンドが提示されています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク 株式会社サトー ラベルプリンタ商品の脆弱性対応について(PDF) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-22469 CVE-2025-22470 JVN iPedia JVNDB-2025-000056
2025-07-31
Threat Intelligence
JVN
THREAT_INTEL
危険度: info
緊急度: medium
公開日:2025/07/31 最終更新日:2025/07/31 JVN#66546573 ZXHN-F660TおよびZXHN-F660Aに機器共通の認証情報が設定されている問題 ZTEジャパン株式会社が提供するZXHN-F660TおよびZXHN-F660Aには、機器共通の認証情報が設定されています。 ZXHN-F660T ファームウェアバージョン V1.0.10P17N4より前のバージョン ZXHN-F660A ファームウェアバージョン V1.0.10P14N4より前のバージョン ZTEジャパン株式会社が提供するZXHN-F660TおよびZXHN-F660AはONU(光回線終端装置)です。 ZXHN-F660TおよびZXHN-F660Aには、次の脆弱性が存在します。 機器共通の認証情報が設定されている問題(CWE-1391) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2025-53558 機器共通の認証情報を取得した攻撃者によって、当該製品にログインされる可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。 対策バージョンでは機器共通の認証情報が廃止されています。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ ZTEジャパン株式会社 該当製品あり 2025/07/31 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:ユウキジャパンテック 宮田 祐希 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53558 JVN iPedia JVNDB-2025-000055
2025-07-30
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/30 最終更新日:2025/07/30 JVN#90566559 Apache Jena Fusekiにおけるパストラバーサルの脆弱性 The Apache Software Foundationが提供するJena Fusekiには、パストラバーサルの脆弱性が存在します。 Jena Fuseki 5.5.0より前のバージョン The Apache Software Foundationが提供するJena Fusekiには、次の脆弱性が存在します。 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N 基本値 2.7 CVE-2025-49656 遠隔の第三者によって、任意のディレクトリに任意の名前のttlファイルを作成される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Apache Software Foundation CVE-2025-49656: Apache Jena: Administrative users can create files outside the server directory space via the admin UI この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が開発者とIPAに報告し、報告者と開発者での調整後、JPCERT/CCが開発者と公表へ向けた調整を行いました。 報告者:株式会社サイバーディフェンス研究所 岩崎 徳明 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000054
2025-07-29
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/29 最終更新日:2025/07/29 JVN#59585716 スマートフォンアプリ「SwitchBot」におけるログファイルへの機微な情報の出力の脆弱性 SwitchBotが提供するスマートフォンアプリ「SwitchBot」には、ログファイルへの機微な情報の出力の脆弱性が存在します。 Androidアプリ「SwitchBot」V6.24からV9.12までのバージョン iOSアプリ「SwitchBot」V6.24からV9.12までのバージョン SwitchBotが提供するスマートフォンアプリ「SwitchBot」には、次の脆弱性が存在します。 ログファイルへの機微な情報の出力(CWE-532) CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.9 CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.1 CVE-2025-53649 アプリのログを取得可能な攻撃者によって、ユーザの機微な情報を取得される可能性があります。 アプリをアップデートする 開発者が提供する情報をもとに、最新版のアプリへアップデートしてください。 本脆弱性は次のバージョンで修正されています。 Android アプリ「SwitchBot」V9.13 iOS アプリ「SwitchBot」V9.13 ベンダ リンク SwitchBot 【お知らせ】SwitchBotアプリ脆弱性修正 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:佐藤 壮 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53649 JVN iPedia JVNDB-2025-000053
2025-07-24
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/24 最終更新日:2025/07/24 JVN#39913189 TP-Link製Archer C1200におけるクリックジャッキングの脆弱性 TP-Linkが提供するArcher C1200には、クリックジャッキングの脆弱性が存在します。 Archer C1200 バージョン 1.1.5およびそれ以前 TP-Linkが提供するArcher C1200には、次の脆弱性が存在します。 クリックジャッキング(CWE-1021) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2025-6983 当該製品の管理用Webアプリケーションにログインした状態のユーザが細工されたページにアクセスした場合、隠されたUI要素をクリックしてしまうことにより、意図しない操作をさせられる可能性があります。 旧製品の使用を停止する、後継製品に移行する 開発者によると、当該製品はサポートを終了しているとのことです。 該当製品の使用停止および後継製品への移行が推奨されています。 ベンダ リンク ティーピーリンクジャパン株式会社 Statement on Clickjacking vulnerability on the management web application of TP-Link Archer C1200 (CVE-2025-6983) Archer C1200 生産終了 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:河島 大文 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2025-000052
2025-07-23
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/23 最終更新日:2025/07/23 JVN#21177718 バスロケーションシステムにおける数値の入力に対する不適切な検証の脆弱性 シンクグラフィカが提供するバスロケーションシステムには、数値の入力に対する不適切な検証の脆弱性が存在します。 バスロケーションシステム 1.1より前のバージョン シンクグラフィカが提供するバスロケーションシステムには、次の脆弱性が存在します。 数値の入力に対する不適切な検証(CWE-1284) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 基本値 4.3 CVE-2025-43881 管理画面にログイン可能な第三者によって、サービス運用妨害(DoS)状態にされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク シンクグラフィカ バスロケーションシステム この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:n3ddih 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-43881 JVN iPedia JVNDB-2025-000051
2025-07-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/22 最終更新日:2025/07/22 JVN#07825095 Androidアプリ「region PAY」にログファイルへの機微な情報の出力の脆弱性 Androidアプリ「region PAY」には、ログファイルへの機微な情報の出力の脆弱性が存在します。 Androidアプリ「region PAY」1.5.28より前のバージョン 株式会社ギフトパッドが提供するAndroidアプリ「region PAY」には、次の脆弱性が存在します。 ログファイルへの機微な情報の出力の脆弱性(CWE-532) CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 2.4 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 2.4 CVE-2025-52580 アプリのログを取得可能な攻撃者にユーザの機微な情報を取得される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 Android アプリ「region PAY」1.5.28 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社ギフトパッド 該当製品あり 2025/07/22 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者: 久保 尚希 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-52580 JVN iPedia JVNDB-2025-000050
2025-07-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2025/07/16 最終更新日:2025/07/16 JVN#44419726 ゼクセロン製ZWX-2000CSW2-HN、ZWX-2000CS2-HNにおけるハードコードされた認証情報の使用の脆弱性 株式会社ゼクセロンが提供するZWX-2000CSW2-HN、ZWX-2000CS2-HNには、ハードコードされた認証情報の使用の脆弱性が存在します。 ZWX-2000CSW2-HN ファームウェア 0.3.19より前のバージョン ZWX-2000CS2-HN ファームウェア すべてのバージョン 株式会社ゼクセロンが提供するZWX-2000CSW2-HN、ZWX-2000CS2-HNには、次の脆弱性が存在します。 ハードコードされた認証情報の使用(CWE-798) CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.8 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N 基本値 4.5 CVE-2025-53842 本脆弱性は、CVE-2024-39838(JVN#70666401)の修正が不十分であったことに起因するものです。 第三者によって、認証情報を取得され、結果として当該機器の設定を変更される。 ZWX-2000CSW2-HN アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートし、設定の確認および変更をしてください。 ZWX-2000CS2-HN ワークアラウンドを実施する 開発者が提供する情報をもとに、設定の確認および変更をしてください。 ベンダ リンク 株式会社ゼクセロン 無線 LAN 機能搭載高速同軸モデム(親子機共通モデル)および高速同軸モデム(親子機共通モデル)におけるパスワード管理不備の脆弱性と対処方法について(PDF) JVN#70666401ゼクセロン製ZWX-2000CSW2-HNにおける複数の脆弱性 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:東京科学大学 佐藤広生 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2025-53842 JVN iPedia JVNDB-2025-000049
2025-07-16
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2025-07-09
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium