Phoenix Contactが提供するCHARX SEC-3xxxには、コードインジェクションの脆弱性（CVE-2025-41699）が存在し、Web管理画面へアクセス可能なユーザにシステム構成を変更されることにより、root権限でのコマンドインジェクションおよび不正なコード生成が引き起こされ、結果としてシステムの機密性、完全性、可用性が侵害される可能性がある。

バイナリデータを解析するためのパーサーを作成するJavaScriptライブラリ binary-parser では、Functionコンストラクタを使用して実行時にJavaScriptコードを動的生成する際に、パーサー定義に含まれるフィールド名やエンコーディング名として指定された値が、検証や無害化処理を経ずに生成されたコードに組み込まれ、その結果、攻撃者により任意のJavaScriptコードを実行さ ...

生成AIを組み込んだアプリケーション開発が急速に進んでいます。チャットボット、社内ドキュメント検索、あるいは自律的にタスクをこなす「AIエージェント」。これらは私たちの業務効率を劇的に向上させてくれます。 しかし、「AIに自由を与えれば ...

MITERが運営する国土安全保証システム技術開発研究所（HSSEDI）は、2024年版の「危険なソフトウェア脆弱性タイプトップ25（CWE Top 25）」を発表した。「コードインジェクション」や「権限管理の不備」など一部タイプが急上昇した。 2023年6月1日から2024年6月1日 ...

チームメンバー間でパスワードを共有、管理できるオープンソースのパスワード管理ツール「TeamPass」に脆弱性が明らかとなった。 一部設定画面の入力フィールドにおいて、PHPコードの挿入が可能となるコードインジェクションの脆弱性「CVE-2023-3551」が ...

「インジェクション」に関する情報が集まったページです。 Check Point傘下のLakeraは、AIエージェントを標的とした最新の攻撃トレンドをまとめたレポートを発表した。システムプロンプトの抽出や間接的プロンプトインジェクションなど、攻撃手法が急速に ...

SQLインジェクションは古くから知られている代表的なWebアプリケーションの脆弱性です。JavaScript関連の脆弱性に比べると対処が非常に簡単であるにも関わらず、 まだまだ多くのアプリケーションがSQLインジェクションに脆弱です。SQLインジェクションに脆弱な ...

1. 結論から始める―「見えない入力がシステムを壊す」 ある日、オンライン書店の管理画面にログインした担当者が、検索ボックスに「`' OR 1=1 --`」と入力しただけで、全顧客の個人情報が一覧表示された。システムは「入力はそのままSQL文に埋め込む ...