NVDで200件のCVEが公開・更新され、うちCritical 4件、High 68件。LLM推論エンジン llama.cpp にCVSS 10.0の任意アドレス書き込み脆弱性(CVE-2024-42479)が最も深刻で、GGUFライブラリ関連のヒープオーバーフローも5件(いずれもCVSS 8.8)同時にスコア更新されています。WordPressプラグイン系が37件以上と大量で、認可不備(CWE-862)が73件と突出しています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 200件 | 4件 | 68件 | 123件 | 5件 |
| OSV | 0件 | — | — | — | — |
| GHSA | 1件 | — | 1件 | — | — |
| MyJVN | 0件(※) | — | — | — | — |
※ MyJVNは「該当する脆弱性対策情報はありません」のステータス
Critical / High 脆弱性の詳細
CVE-2024-42479 — llama.cpp RPC テンソル任意アドレス書き込み
LLM推論ライブラリ llama.cpp の rpc_tensor 構造体における data ポインタメンバーが安全に検証されておらず、任意のメモリアドレスへの書き込みが可能です。RPCサーバー機能を利用している場合に影響を受けます。
- CVSSスコア: 10.0(Critical)
- CWE: CWE-123(Write-what-where Condition)、CWE-787(境界外書き込み)
- 影響: llama.cpp b3561 より前のバージョン
- 対策: b3561 以降へアップデート
- 参考: NVD / GHSA
CVE-2024-21802 / CVE-2024-21825 / CVE-2024-21836 / CVE-2024-23496 / CVE-2024-23605 — llama.cpp GGUFライブラリ ヒープオーバーフロー 5件
llama.cpp の GGUF ファイル解析ライブラリに5件のヒープベースバッファオーバーフロー脆弱性が存在します。影響を受ける関数は info->ne、GGUF_TYPE_ARRAY/STRING パーサー、header.n_tensors、gguf_fread_str、header.n_kv です。細工された .gguf ファイルを読み込むことでコード実行につながる可能性があります。
- CVSSスコア: 8.8(High)× 5件
- CWE: CWE-122 / CWE-190(整数オーバーフロー)/ CWE-787(境界外書き込み)
- 影響: llama.cpp Commit 18c2e17
- 対策: 最新バージョンへアップデート
- 参考: TALOS-2024-1912 / TALOS-2024-1913 / TALOS-2024-1914 / TALOS-2024-1915 / TALOS-2024-1916
CVE-2025-52773 — HieCOR Payment Gateway Plugin SQLインジェクション
WordPress向け決済プラグイン「HieCOR Payment Gateway Plugin」にSQLインジェクション脆弱性が存在します。データベースへの不正アクセスにつながる可能性があります。
- CVSSスコア: 9.3(Critical)
- CWE: CWE-89(SQLインジェクション)
- 影響: HieCOR Payment Gateway Plugin 1.5.11 以前
- 対策: プラグインの更新版を確認、未提供の場合は無効化を検討
- 参考: NVD
CVE-2025-54236 — Adobe Commerce セッションテイクオーバー(CISA KEV)
Adobe Commerce(Magento)に入力検証不備によるセッションテイクオーバー脆弱性。CISA KEVに追加済みで、実際の悪用が確認されています。前日に引き続きスコア更新されています。
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
- 対策: Adobeセキュリティアップデート(APSB25-88)を適用
- 参考: NVD / Adobe Advisory
CVE-2025-52758 — Zippy プラグイン 任意ファイルアップロード
WordPress向けプラグイン「Zippy」に危険なファイルタイプの無制限アップロード脆弱性。Webシェル等の配置に悪用される可能性があります。
- CVSSスコア: 9.1(Critical)
- CWE: CWE-434(危険なファイルタイプの無制限アップロード)
- 影響: Zippy 1.7.0 以前
- 対策: プラグインの更新版を確認、未提供の場合は無効化を検討
- 参考: NVD
CVE-2025-60041 — Emails Catch All 認証バイパス
WordPress向けプラグイン「Emails Catch All」にパスワードリカバリー機能を悪用した認証バイパス脆弱性が存在します。
- CVSSスコア: 8.8(High)
- CWE: CWE-288(代替パスによる認証バイパス)
- 影響: Emails Catch All 3.5.3 以前
- 対策: プラグインの更新版を確認
- 参考: NVD
CVE-2025-53586 — WeMusic テーマ PHPオブジェクトインジェクション
WordPress向けテーマ「WeMusic」に信頼されないデータのデシリアライゼーションによるPHPオブジェクトインジェクション脆弱性が存在します。
- CVSSスコア: 8.8(High)
- CWE: CWE-502(信頼されないデータのデシリアライゼーション)
- 影響: WeMusic 1.9.1 以前
- 対策: テーマの更新版を確認
- 参考: NVD
その他の注目脆弱性
- CVE-2025-60227 WP Pipes — パストラバーサルによる任意ファイル削除(CVSS 8.6)
- CVE-2025-60239 CoSchool LMS — ブラインドSQLインジェクション(CVSS 8.5)
- CVE-2025-60190 Immocaster — PHPローカルファイルインクルージョン(CVSS 8.1)
- CVE-2025-60197 Simple Contact Forms — PHPローカルファイルインクルージョン(CVSS 8.1)
- CVE-2025-60199 InHype テーマ — PHPローカルファイルインクルージョン(CVSS 8.1)
CWE 傾向分析
本日の200件で目立つ脆弱性タイプは以下のとおりです。WordPressプラグイン/テーマの認可不備が全体の3分の1以上を占めています。
| CWE | 件数 | 概要 |
|---|---|---|
| CWE-862 | 73件 | 認可の欠如(Missing Authorization) |
| CWE-79 | 41件 | クロスサイトスクリプティング(XSS) |
| CWE-352 | 26件 | クロスサイトリクエストフォージェリ(CSRF) |
| CWE-98 | 24件 | PHPリモートファイルインクルージョン |
| CWE-787 | 6件 | 境界外書き込み |
GHSA 情報
GHSA-5wfc-hjrc-gq87 — hjson スタック枯渇
Java向けHjsonライブラリ(org.hjson:hjson)にスタック枯渇脆弱性。深くネストされた入力によりDoSが発生する可能性があります。2023年公開の既知CVE(CVE-2023-34620)で、修正版は未提供です。
- 影響: org.hjson:hjson(Maven)
- 参考: NVD
JVN 日本語情報
本日のMyJVNデータでは新規の脆弱性対策情報はありませんでした。
まとめ
本日はCritical 4件、High 68件の計200件。最大の注目はllama.cppで、CVSS 10.0の任意アドレス書き込み(CVE-2024-42479)に加え、GGUFファイル解析のヒープオーバーフロー5件がまとめてスコア更新されています。LLM推論にllama.cppを利用している場合は最新版へのアップデートを推奨します。Adobe Commerce(CVE-2025-54236)は引き続きCISA KEV登録済みのため、Magento利用者は早急な対応を検討してください。WordPress関連は37件以上と大量で、認可不備(CWE-862)が73件と突出しており、プラグイン/テーマの定期的な更新と不要なものの無効化が重要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。