The LuxCal Web Calendarにおける複数の脆弱性 | Gauge 脆弱性情報通知サービス

区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号

New
JVNDB-2025-000012
The LuxCal Web Calendarにおける複数の脆弱性
7.3
2025/02/17 12:16
CVE-2025-25221

JVNDB-2025-000012

The LuxCal Web Calendarにおける複数の脆弱性

概要

LuxSoftが提供するThe LuxCal Web Calendarには、次の複数の脆弱性が存在します。

pdf.phpの処理におけるSQLインジェクション（CWE-89）- CVE-2025-25221
retrieve.phpの処理におけるSQLインジェクション（CWE-89）- CVE-2025-25222
dloader.phpの処理におけるパストラバーサル（CWE-22）- CVE-2025-25223
dloader.phpにおける重要な機能に対する認証の欠如（CWE-306）- CVE-2025-25224

CVE-2025-25221、CVE-2025-25222 この脆弱性情報は情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：田内陸斗氏 CVE-2025-25223、CVE-2025-25224 この脆弱性情報は情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：三井物産セキュアディレクション株式会社東内裕二氏

想定される影響と対策

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

データベース内の情報を削除、改ざん、窃取されたりする（CVE-2025-25221、CVE-2025-25222）
サーバー内の任意のファイルを取得される（CVE-2025-25223、CVE-2025-25224）

[アップデートする] 開発者が提供する情報をもとに、ソフトウェアのアップデートを行ってください。

JVN情報　※( )内はCVSS v2の値

              深刻度
              7.3
              
            
CVECVE-2025-25221
公表日2025/02/17 00:00
登録日2025/02/17 12:16
更新日2025/02/17 12:16

CVSS v3情報

…

全ての情報を閲覧するにはユーザー登録（無料）またはログインが必要です。: 新規登録

ログイン