Tech Insights
【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...
WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。
【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...
WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。
【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...
WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。
【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...
WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。
【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...
WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。
【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...
WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。
【CVE-2024-13903】quickjs-ng QuickJSにスタックベースバッファオ...
quickjs-ng QuickJSのバージョン0.8.0以前に重大な脆弱性が発見された。この脆弱性は、quickjs.cファイルのJS_GetRuntime関数に影響を及ぼすスタックベースバッファオーバーフローで、リモートからの攻撃が可能であることが判明。CVSSスコアは最大で5.3(中程度)を記録し、開発チームは既にバージョン0.9.0でこの問題に対処するパッチを公開している。
【CVE-2024-13903】quickjs-ng QuickJSにスタックベースバッファオ...
quickjs-ng QuickJSのバージョン0.8.0以前に重大な脆弱性が発見された。この脆弱性は、quickjs.cファイルのJS_GetRuntime関数に影響を及ぼすスタックベースバッファオーバーフローで、リモートからの攻撃が可能であることが判明。CVSSスコアは最大で5.3(中程度)を記録し、開発チームは既にバージョン0.9.0でこの問題に対処するパッチを公開している。
【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...
SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。
【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...
SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。
【CVE-2025-2684】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。
【CVE-2025-2684】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。
【CVE-2025-2682】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。
【CVE-2025-2682】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。
MicrosoftがVisual Studio Hubを開設、開発者向け情報集約プラットフォー...
MicrosoftはVisual Studioの最新情報を一元的に提供する「Visual Studio Hub」を開設した。リリースノートや公式ブログ、SNS更新情報などが体系的に整理され、GitHub Copilotのリソースも提供。開発者は必要な情報へ効率的にアクセスでき、コミュニティとの対話も促進される。製品改善への貢献も容易になり、開発生産性の向上が期待される。
MicrosoftがVisual Studio Hubを開設、開発者向け情報集約プラットフォー...
MicrosoftはVisual Studioの最新情報を一元的に提供する「Visual Studio Hub」を開設した。リリースノートや公式ブログ、SNS更新情報などが体系的に整理され、GitHub Copilotのリソースも提供。開発者は必要な情報へ効率的にアクセスでき、コミュニティとの対話も促進される。製品改善への貢献も容易になり、開発生産性の向上が期待される。
ワンフレームがWeb制作フィードバックツール「rev.」を正式提供開始、直感的な操作と多言語対...
ワンフレーム株式会社がWeb制作のフィードバックを効率化するクラウドサービス「rev.」の正式提供を2025年3月24日より開始した。スクリーンショットへの直接コメント機能や画像からのテキスト抽出、ワンクリック翻訳など、直感的な操作で修正指示を行える機能を実装。さらに近日中には画像内文字検索やチャットツール連携、動画対応など更なる機能拡充を予定している。
ワンフレームがWeb制作フィードバックツール「rev.」を正式提供開始、直感的な操作と多言語対...
ワンフレーム株式会社がWeb制作のフィードバックを効率化するクラウドサービス「rev.」の正式提供を2025年3月24日より開始した。スクリーンショットへの直接コメント機能や画像からのテキスト抽出、ワンクリック翻訳など、直感的な操作で修正指示を行える機能を実装。さらに近日中には画像内文字検索やチャットツール連携、動画対応など更なる機能拡充を予定している。
HOUSEIがimpraiをアップデート、アリババクラウドのQWQ-32B搭載とMicroso...
HOUSEI株式会社が生成AIローコード開発プラットフォーム「imprai」のアップデートを発表。アリババクラウドの最新LLM「QWQ-32B」を搭載し、Microsoft Teamsとの連携機能を実装。32.5Bパラメータを持つQWQ-32Bは、DeepSeekR1に匹敵する性能を実現。また37種類のLLMに対応し、ユーザーは必要に応じてAI機能を有効化・無効化可能。多様なビジネスニーズに対応する柔軟な開発環境を提供。
HOUSEIがimpraiをアップデート、アリババクラウドのQWQ-32B搭載とMicroso...
HOUSEI株式会社が生成AIローコード開発プラットフォーム「imprai」のアップデートを発表。アリババクラウドの最新LLM「QWQ-32B」を搭載し、Microsoft Teamsとの連携機能を実装。32.5Bパラメータを持つQWQ-32Bは、DeepSeekR1に匹敵する性能を実現。また37種類のLLMに対応し、ユーザーは必要に応じてAI機能を有効化・無効化可能。多様なビジネスニーズに対応する柔軟な開発環境を提供。
ManageEngine Log360 Cloudがダークウェブ監視機能を追加、組織の機密情報...
ゾーホージャパンはManageEngine Log360 Cloudにダークウェブ監視機能を追加した。Constella Intelligenceと提携し、24時間365日体制で組織の機密情報漏洩を検知。クレジットカード番号やメールアドレスなどの個人情報が漏洩した際にリアルタイムでアラートを発報する。Advanced Threat Analyticsオプション(年間8.5万円)で利用可能。
ManageEngine Log360 Cloudがダークウェブ監視機能を追加、組織の機密情報...
ゾーホージャパンはManageEngine Log360 Cloudにダークウェブ監視機能を追加した。Constella Intelligenceと提携し、24時間365日体制で組織の機密情報漏洩を検知。クレジットカード番号やメールアドレスなどの個人情報が漏洩した際にリアルタイムでアラートを発報する。Advanced Threat Analyticsオプション(年間8.5万円)で利用可能。
セーフィーが既設カメラ接続型「Safie Trail Station」を発表、多拠点映像管理の...
クラウド録画サービスシェアNo.1のセーフィー株式会社が、既設IPカメラをクラウド環境に統合できる「Safie Trail Station」を発表した。1台で最大32台のIPカメラを接続可能で、映像を本体内のストレージに記録することでネットワーク帯域の負荷を軽減。流通・小売業や製造・物流業、不動産業など様々な業種での活用が期待される。多拠点での映像管理とAIを活用した店舗運営支援を実現する。
セーフィーが既設カメラ接続型「Safie Trail Station」を発表、多拠点映像管理の...
クラウド録画サービスシェアNo.1のセーフィー株式会社が、既設IPカメラをクラウド環境に統合できる「Safie Trail Station」を発表した。1台で最大32台のIPカメラを接続可能で、映像を本体内のストレージに記録することでネットワーク帯域の負荷を軽減。流通・小売業や製造・物流業、不動産業など様々な業種での活用が期待される。多拠点での映像管理とAIを活用した店舗運営支援を実現する。
Lumosがエージェントハブの機能を強化、ATS対応拡充と求人情報の共有・編集機能が向上
株式会社Lumosが運営する人材エージェント向け情報管理システム「エージェントハブ」が機能改善を実施。ATSの対応数を13種類に拡充し、求人情報のURL・PDF形式でのワンクリック共有機能を追加。さらに、ATSから取り込んだ求人情報の編集機能を強化し、採用戦略に合わせた柔軟な内容変更が可能に。これにより、エージェントと求職者間の情報共有がよりスムーズになり、効果的な求人掲載を実現できる。
Lumosがエージェントハブの機能を強化、ATS対応拡充と求人情報の共有・編集機能が向上
株式会社Lumosが運営する人材エージェント向け情報管理システム「エージェントハブ」が機能改善を実施。ATSの対応数を13種類に拡充し、求人情報のURL・PDF形式でのワンクリック共有機能を追加。さらに、ATSから取り込んだ求人情報の編集機能を強化し、採用戦略に合わせた柔軟な内容変更が可能に。これにより、エージェントと求職者間の情報共有がよりスムーズになり、効果的な求人掲載を実現できる。
メディメッセ桜十字が外国人労働者向け安全衛生Webセミナーを企画、労災防止と多文化共生の促進へ
熊本県内の企業・行政・専門家が連携し、外国人材の雇用における安全衛生対策を学ぶWebセミナーを2025年4月から開催する。年間6回のセミナーでは、労災防止対策や感染症対策、多文化共生の視点からの防災対応など、外国人労働者を雇用する企業にとって重要な内容を網羅。第1回は4月23日に開催され、外国人材の労災事故防止をテーマに実践的な知識を提供する。
メディメッセ桜十字が外国人労働者向け安全衛生Webセミナーを企画、労災防止と多文化共生の促進へ
熊本県内の企業・行政・専門家が連携し、外国人材の雇用における安全衛生対策を学ぶWebセミナーを2025年4月から開催する。年間6回のセミナーでは、労災防止対策や感染症対策、多文化共生の視点からの防災対応など、外国人労働者を雇用する企業にとって重要な内容を網羅。第1回は4月23日に開催され、外国人材の労災事故防止をテーマに実践的な知識を提供する。
電通デジタルが∞AIを大型アップデート、AIエージェントによるマーケティング支援の効率化を実現
電通デジタルは2025年3月24日、AIを活用したマーケティングソリューションブランド「∞AI」の大型アップデートを実施し、本格運用を開始した。Customer Data Hub、Customer Twin、MC Planning、CX Planningの4つの新ソリューションを開発し、AIエージェントとの対話を通じたデジタルマーケティング活動支援の高度化・効率化を実現する。
電通デジタルが∞AIを大型アップデート、AIエージェントによるマーケティング支援の効率化を実現
電通デジタルは2025年3月24日、AIを活用したマーケティングソリューションブランド「∞AI」の大型アップデートを実施し、本格運用を開始した。Customer Data Hub、Customer Twin、MC Planning、CX Planningの4つの新ソリューションを開発し、AIエージェントとの対話を通じたデジタルマーケティング活動支援の高度化・効率化を実現する。
ゲオHDがアメリカ子会社向けにmultibookを採用、グローバル会計システムの統一で業務効率...
ゲオホールディングスがアメリカ拠点の小規模子会社向け会計システムとしてマルチブックのグローバルクラウドERP「multibook」を採用。12言語対応で30カ国以上の導入実績を持つmultibookにより、固定資産管理やリース資産管理を含む会計機能の統一管理を実現。今後はタイ・マレーシア・台湾などの海外子会社や日本国内での導入も計画し、グローバル視点での業務標準化を目指す。
ゲオHDがアメリカ子会社向けにmultibookを採用、グローバル会計システムの統一で業務効率...
ゲオホールディングスがアメリカ拠点の小規模子会社向け会計システムとしてマルチブックのグローバルクラウドERP「multibook」を採用。12言語対応で30カ国以上の導入実績を持つmultibookにより、固定資産管理やリース資産管理を含む会計機能の統一管理を実現。今後はタイ・マレーシア・台湾などの海外子会社や日本国内での導入も計画し、グローバル視点での業務標準化を目指す。
DNPが浜通り復興リビングラボ実証事業で3件を展開、地域課題解決に向けた取り組みを本格化
大日本印刷株式会社が復興庁の浜通り復興リビングラボ実証事業において、行政窓口の対話支援、ドローンによる服薬サービス、獣害対策の3事業を実施。福島県浜通り地域等での住民帰還や移住促進に向け、IoTやドローン技術を活用した生活環境向上の取り組みを推進している。官民共創による地域課題解決の新たなモデルとして注目される。
DNPが浜通り復興リビングラボ実証事業で3件を展開、地域課題解決に向けた取り組みを本格化
大日本印刷株式会社が復興庁の浜通り復興リビングラボ実証事業において、行政窓口の対話支援、ドローンによる服薬サービス、獣害対策の3事業を実施。福島県浜通り地域等での住民帰還や移住促進に向け、IoTやドローン技術を活用した生活環境向上の取り組みを推進している。官民共創による地域課題解決の新たなモデルとして注目される。
シムトップスがi-Reporterマニュアルをウェブ化、Gitbookによるユーザビリティとコ...
シムトップスは現場帳票システムi-Reporterの利用者向けマニュアルをPDF形式からWeb形式へ移行し、2025年3月24日より公開を開始した。ナレッジベースツールGitbookを採用することで、検索性の向上やマニュアル間の相互リンク、動画コンテンツの活用が可能になり、4,000社20万人以上のユーザーの利便性向上が期待される。
シムトップスがi-Reporterマニュアルをウェブ化、Gitbookによるユーザビリティとコ...
シムトップスは現場帳票システムi-Reporterの利用者向けマニュアルをPDF形式からWeb形式へ移行し、2025年3月24日より公開を開始した。ナレッジベースツールGitbookを採用することで、検索性の向上やマニュアル間の相互リンク、動画コンテンツの活用が可能になり、4,000社20万人以上のユーザーの利便性向上が期待される。
airooが独自開発のAI/3D技術による巨人の肩プロジェクトを開始、有川製作所の3Dオフィス...
最先端のAI/3Dプラットフォームを開発・提供するairooは、有川製作所およびフォアと共同で巨人の肩プロジェクトを開始した。あらゆるデバイス・ブラウザから利用可能な軽量な3Dオフィスを実現し、高性能PCやVRデバイス不要で利用できる。また有川製作所は、オムロンと山崎電機との小人の靴屋プロジェクトも展開し、製造業の自動化も推進している。
airooが独自開発のAI/3D技術による巨人の肩プロジェクトを開始、有川製作所の3Dオフィス...
最先端のAI/3Dプラットフォームを開発・提供するairooは、有川製作所およびフォアと共同で巨人の肩プロジェクトを開始した。あらゆるデバイス・ブラウザから利用可能な軽量な3Dオフィスを実現し、高性能PCやVRデバイス不要で利用できる。また有川製作所は、オムロンと山崎電機との小人の靴屋プロジェクトも展開し、製造業の自動化も推進している。
ウォンテッドリーがWantedly Assessment性格診断をアップデート、自己理解と相互...
ウォンテッドリー株式会社は2025年3月25日、Wantedly Assessmentの性格診断機能を大幅アップデートした。新機能では性格タイプの説明文が充実し、強み・弱み、モチベーションリソース、ストレッサーなどの項目が追加された。134個の質問から16種類の性格タイプを判定し、チーム内の相互理解促進を支援する。新年度の組織づくりに活用可能な機能として期待が高まる。
ウォンテッドリーがWantedly Assessment性格診断をアップデート、自己理解と相互...
ウォンテッドリー株式会社は2025年3月25日、Wantedly Assessmentの性格診断機能を大幅アップデートした。新機能では性格タイプの説明文が充実し、強み・弱み、モチベーションリソース、ストレッサーなどの項目が追加された。134個の質問から16種類の性格タイプを判定し、チーム内の相互理解促進を支援する。新年度の組織づくりに活用可能な機能として期待が高まる。
MicrosoftがPhotosアプリのMarch 2025アップデートを公開、AIとOCR機...
MicrosoftはWindows Insiderに向けてPhotosアプリの大規模アップデートを開始。160言語対応のOCR機能、AI編集機能のショートカット追加、Copilotボタンの統合など、多数の新機能を実装。画像内テキストのWeb検索やAIによる編集アドバイス、サブフォルダー表示機能の追加により、画像管理と編集の効率が劇的に向上。バージョン2025.11030.20006.0以降で利用可能。
MicrosoftがPhotosアプリのMarch 2025アップデートを公開、AIとOCR機...
MicrosoftはWindows Insiderに向けてPhotosアプリの大規模アップデートを開始。160言語対応のOCR機能、AI編集機能のショートカット追加、Copilotボタンの統合など、多数の新機能を実装。画像内テキストのWeb検索やAIによる編集アドバイス、サブフォルダー表示機能の追加により、画像管理と編集の効率が劇的に向上。バージョン2025.11030.20006.0以降で利用可能。
【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...
大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。
【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...
大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。
【CVE-2025-27274】WordPress用プラグインGPX Viewerにパストラバ...
Patchstack OÜは2025年3月3日、WordPress用プラグインGPX Viewerにパストラバーサル脆弱性が存在することを公表した。CVE-2025-27274として識別されるこの脆弱性は、バージョン2.2.11以前に影響を与え、CVSS v3.1で4.9(MEDIUM)と評価されている。Patchstack Allianceの研究者により発見され、高い特権レベルが必要だがユーザーの関与は不要とされている。
【CVE-2025-27274】WordPress用プラグインGPX Viewerにパストラバ...
Patchstack OÜは2025年3月3日、WordPress用プラグインGPX Viewerにパストラバーサル脆弱性が存在することを公表した。CVE-2025-27274として識別されるこの脆弱性は、バージョン2.2.11以前に影響を与え、CVSS v3.1で4.9(MEDIUM)と評価されている。Patchstack Allianceの研究者により発見され、高い特権レベルが必要だがユーザーの関与は不要とされている。
【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...
WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。
【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...
WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。
【CVE-2025-2088】PHPGurukul Pre-School Enrollment...
PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。
【CVE-2025-2088】PHPGurukul Pre-School Enrollment...
PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。
【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...
WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。
【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...
WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。
【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...
WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。
【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...
WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。
【CVE-2024-13924】WordPressプラグインStarter Templates...
WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。
【CVE-2024-13924】WordPressプラグインStarter Templates...
WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。
【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...
WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。
【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...
WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。
【CVE-2025-1261】HT Mega – Absolute Addons For El...
WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。
【CVE-2025-1261】HT Mega – Absolute Addons For El...
WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。