Tech Insights
【CVE-2025-1582】PHPGurukul Online Nurse Hiring S...
PHPGurukul社のOnline Nurse Hiring System 1.0において、/admin/all-request.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1582として識別されたこの脆弱性は、viewid引数の操作によってリモートから攻撃可能であり、既にエクスプロイトコードが公開されている。CVSSスコアは中程度と評価されているが、医療従事者の個人情報漏洩リスクがあり、早急な対応が求められる。
【CVE-2025-1582】PHPGurukul Online Nurse Hiring S...
PHPGurukul社のOnline Nurse Hiring System 1.0において、/admin/all-request.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-1582として識別されたこの脆弱性は、viewid引数の操作によってリモートから攻撃可能であり、既にエクスプロイトコードが公開されている。CVSSスコアは中程度と評価されているが、医療従事者の個人情報漏洩リスクがあり、早急な対応が求められる。
【CVE-2025-1615】FiberHome AN5506-01A ONU GPON RP...
VulDBが2025年2月24日にFiberHome AN5506-01A ONU GPON RP2511のNAT Submenuコンポーネントにクロスサイトスクリプティング脆弱性を発見したと報告。Description引数の操作によってリモートから攻撃が可能で、CVSS 4.0では中程度の4.8点と評価された。ベンダーへの早期連絡も応答がなく、対応が遅れている状況だ。
【CVE-2025-1615】FiberHome AN5506-01A ONU GPON RP...
VulDBが2025年2月24日にFiberHome AN5506-01A ONU GPON RP2511のNAT Submenuコンポーネントにクロスサイトスクリプティング脆弱性を発見したと報告。Description引数の操作によってリモートから攻撃が可能で、CVSS 4.0では中程度の4.8点と評価された。ベンダーへの早期連絡も応答がなく、対応が遅れている状況だ。
【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...
慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。
【CVE-2025-27140】WeGIAにOSコマンドインジェクションの脆弱性、慈善団体向け...
慈善団体向けWebマネージャーWeGIAのバージョン3.2.15未満において、importar_dump.phpエンドポイントにOSコマンドインジェクションの脆弱性が発見された。CVSSスコア10.0の最も深刻なレベルに分類され、リモートでの任意コード実行やWebシェルのアップロードが可能となっている。特別な権限やユーザー操作が不要であり、早急な対応が求められる。
【CVE-2025-1606】Best Employee Management Systemに...
SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。
【CVE-2025-1606】Best Employee Management Systemに...
SourceCodester社のBest Employee Management System 1.0において、バックアップ機能に情報漏洩の脆弱性が発見された。/admin/backup/backups.phpファイルの実装に問題があり、リモートからの攻撃により機密情報が漏洩する可能性がある。CVSSスコアは中程度だが、既に脆弱性の詳細が公開されており、早急な対応が求められている。
【CVE-2025-26597】XorgとXwaylandにバッファオーバーフロー脆弱性、Re...
Red Hat社が公開したXorgおよびXwaylandのバッファオーバーフロー脆弱性は、XkbChangeTypesOfKey()関数の実装不具合に起因する。CVSS v3.1で7.8(High)と評価され、Red Hat Enterprise Linux 7および9の全バージョンに影響。攻撃者がローカルアクセス権限を持つ環境で容易に攻撃を実行でき、システムの機密性、整合性、可用性に高度な影響を及ぼす可能性がある。
【CVE-2025-26597】XorgとXwaylandにバッファオーバーフロー脆弱性、Re...
Red Hat社が公開したXorgおよびXwaylandのバッファオーバーフロー脆弱性は、XkbChangeTypesOfKey()関数の実装不具合に起因する。CVSS v3.1で7.8(High)と評価され、Red Hat Enterprise Linux 7および9の全バージョンに影響。攻撃者がローカルアクセス権限を持つ環境で容易に攻撃を実行でき、システムの機密性、整合性、可用性に高度な影響を及ぼす可能性がある。
【CVE-2025-26594】X.OrgとXwaylandにUse-After-Free脆弱...
Red Hat社が2025年2月25日に公開したX.OrgとXwaylandの脆弱性情報によると、ルートカーソルに関連するUse-After-Free脆弱性が発見された。CVSSスコア7.8のハイリスクと評価されており、Red Hat Enterprise Linux 7および9の全バージョンが影響を受ける。一方でRed Hat Enterprise Linux 8は影響を受けないことが確認されている。
【CVE-2025-26594】X.OrgとXwaylandにUse-After-Free脆弱...
Red Hat社が2025年2月25日に公開したX.OrgとXwaylandの脆弱性情報によると、ルートカーソルに関連するUse-After-Free脆弱性が発見された。CVSSスコア7.8のハイリスクと評価されており、Red Hat Enterprise Linux 7および9の全バージョンが影響を受ける。一方でRed Hat Enterprise Linux 8は影響を受けないことが確認されている。
【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...
OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。
【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...
OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。
【CVE-2024-58043】HuaweiのHarmonyOSとEMUIに権限バイパスの脆弱...
HuaweiのHarmonyOSとEMUIのウィンドウモジュールに権限バイパスの脆弱性が発見された。CVSSスコア7.3のハイリスクと評価され、HarmonyOS 2.0.0から4.3.0までの7バージョンとEMUI 12.0.0から14.0.0までの3バージョンが影響を受ける。脆弱性が悪用された場合、サービスの機密性が損なわれる可能性があり、早急な対応が必要とされている。
【CVE-2024-58043】HuaweiのHarmonyOSとEMUIに権限バイパスの脆弱...
HuaweiのHarmonyOSとEMUIのウィンドウモジュールに権限バイパスの脆弱性が発見された。CVSSスコア7.3のハイリスクと評価され、HarmonyOS 2.0.0から4.3.0までの7バージョンとEMUI 12.0.0から14.0.0までの3バージョンが影響を受ける。脆弱性が悪用された場合、サービスの機密性が損なわれる可能性があり、早急な対応が必要とされている。
OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...
OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。
OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...
OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。
【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...
OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。
【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...
OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。
【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...
OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。
【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...
OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。
【CVE-2025-23409】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...
OpenHarmonyのCommunication DsoftbusにおいてUAF脆弱性が発見された。CVE-2025-23409として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意コード実行を可能にする。CVSSスコアは3.8(Low)と評価されており、ローカル環境での攻撃が可能だ。
【CVE-2025-23409】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...
OpenHarmonyのCommunication DsoftbusにおいてUAF脆弱性が発見された。CVE-2025-23409として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意コード実行を可能にする。CVSSスコアは3.8(Low)と評価されており、ローカル環境での攻撃が可能だ。
Mozillaが最新版Firefox 136をリリース、AIチャットボット統合の新サイドバーと...
Mozillaが公開したFirefox 136は、新しいサイドバーとAIチャットボット機能の統合により、ブラウジング体験を大きく向上させた。ユーザーが選択可能なAIチャットボットやブックマーク、履歴、同期タブなどの機能をサイドバーに統合し、効率的な作業環境を実現。さらに垂直タブレイアウトの導入により、大量のタブ管理が容易になった。
Mozillaが最新版Firefox 136をリリース、AIチャットボット統合の新サイドバーと...
Mozillaが公開したFirefox 136は、新しいサイドバーとAIチャットボット機能の統合により、ブラウジング体験を大きく向上させた。ユーザーが選択可能なAIチャットボットやブックマーク、履歴、同期タブなどの機能をサイドバーに統合し、効率的な作業環境を実現。さらに垂直タブレイアウトの導入により、大量のタブ管理が容易になった。
Sky株式会社がSKYDIV Desktop Client Ver.7を発売、ハードウェアトー...
Sky株式会社は2025年3月3日、シンクライアントシステム「SKYDIV Desktop Client Ver.7」の販売を開始した。リモートアクセス機能Remote Access Servicesの認証機能を強化し、従来のスマートフォンを利用した二要素認証に加えて、ハードウェアトークンを活用したログイン認証が可能になった。国産システムとして開発から販売、サポートまでを国内で一貫して提供している。
Sky株式会社がSKYDIV Desktop Client Ver.7を発売、ハードウェアトー...
Sky株式会社は2025年3月3日、シンクライアントシステム「SKYDIV Desktop Client Ver.7」の販売を開始した。リモートアクセス機能Remote Access Servicesの認証機能を強化し、従来のスマートフォンを利用した二要素認証に加えて、ハードウェアトークンを活用したログイン認証が可能になった。国産システムとして開発から販売、サポートまでを国内で一貫して提供している。
IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...
クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。
IdrasysがAIエージェントサービスGenAI Admin Portalを提供開始、部署横...
クリーク・アンド・リバー社の子会社Idrasysが、インツミット社開発のAIエージェントサービス「GenAI Admin Portal」の提供を開始した。Azure OpenAI ServiceとChatGPTモデルを統合し、音声会議記録要約やチャットボット、契約書分析など、各部署の業務効率を改善する統合的なAIソリューションを提供する。すでに台湾の政府機関やインフラ企業で導入実績があり、日本でも札幌観光協会での活用が始まっている。
リーガルテックがAI搭載次世代VDRを不動産業界向けに提供開始、取引プロセスの効率化を実現
リーガルテック株式会社が不動産業界向けにLLM生成AI「AI孔明」を統合した次世代型VDRプラットフォームの提供を開始。契約書のリアルタイム分析や物件デューデリジェンスの自動化により、取引プロセスを大幅に効率化。6言語対応で国際取引も促進し、アクセス履歴管理によるコンプライアンス強化も実現。大手不動産企業や金融機関での導入実績あり。
リーガルテックがAI搭載次世代VDRを不動産業界向けに提供開始、取引プロセスの効率化を実現
リーガルテック株式会社が不動産業界向けにLLM生成AI「AI孔明」を統合した次世代型VDRプラットフォームの提供を開始。契約書のリアルタイム分析や物件デューデリジェンスの自動化により、取引プロセスを大幅に効率化。6言語対応で国際取引も促進し、アクセス履歴管理によるコンプライアンス強化も実現。大手不動産企業や金融機関での導入実績あり。
GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...
GMO Flatt Securityは2025年3月5日より、国産脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加した。AIを活用して権限マトリクスを自動作成し、Webアプリケーションの認可制御不備を自動検知する機能を実装。従来のセキュリティエンジニアによる手動診断と比較して大幅なコスト削減を実現し、年間150万円から継続的な診断が可能となった。
GMO Flatt SecurityがShisho Cloud byGMOに認可制御診断機能を...
GMO Flatt Securityは2025年3月5日より、国産脆弱性診断ツール「Shisho Cloud byGMO」に認可制御診断機能を追加した。AIを活用して権限マトリクスを自動作成し、Webアプリケーションの認可制御不備を自動検知する機能を実装。従来のセキュリティエンジニアによる手動診断と比較して大幅なコスト削減を実現し、年間150万円から継続的な診断が可能となった。
NPO法人OVAが10代以下の自殺関連相談をAIで分析、孤独感と将来不安の深刻化が明らかに
NPO法人OVAがAIツール「Talk to the City」を活用し、2024年4月から2025年1月までの10代以下の自殺関連相談を分析した結果を公開。孤独感・孤立感が29%と最多を占め、不登校・学校不適応19%、進路・将来不安13%と続く。親や教育者からの理解不足や経済的制約がメンタルヘルスサービスへのアクセスを妨げている実態が明らかになった。
NPO法人OVAが10代以下の自殺関連相談をAIで分析、孤独感と将来不安の深刻化が明らかに
NPO法人OVAがAIツール「Talk to the City」を活用し、2024年4月から2025年1月までの10代以下の自殺関連相談を分析した結果を公開。孤独感・孤立感が29%と最多を占め、不登校・学校不適応19%、進路・将来不安13%と続く。親や教育者からの理解不足や経済的制約がメンタルヘルスサービスへのアクセスを妨げている実態が明らかになった。
国際弁護士が設立したEminence Luxeがドバイで不動産事業を開始、法務×不動産の専門性...
三法域の弁護士資格を持つ森和孝氏が代表を務めるEminence Luxeが、2025年2月よりドバイで不動産仲介・投資支援サービスを開始。2024年に過去最高の投資総額を記録したドバイ不動産市場において、法務の専門知識を活かしたリスク管理と継続的サポートを提供。暗号資産決済対応や不動産テック企業との協業を通じて、日本人投資家向けの安心な投資環境を構築する。
国際弁護士が設立したEminence Luxeがドバイで不動産事業を開始、法務×不動産の専門性...
三法域の弁護士資格を持つ森和孝氏が代表を務めるEminence Luxeが、2025年2月よりドバイで不動産仲介・投資支援サービスを開始。2024年に過去最高の投資総額を記録したドバイ不動産市場において、法務の専門知識を活かしたリスク管理と継続的サポートを提供。暗号資産決済対応や不動産テック企業との協業を通じて、日本人投資家向けの安心な投資環境を構築する。
mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上
mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。
mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上
mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。
ビットキーのbitlock PROがBOXIL SaaS AWARDで入退室管理システム部門1...
株式会社ビットキーのスマートロック「bitlock PRO」が、BOXIL SaaS AWARD 2025の入退室管理システム部門で1位を獲得。さらにBOXIL SaaS AWARD Spring 2025でもGood Serviceを3期連続受賞し、使いやすさやカスタマイズ性など8項目でNo.1評価を獲得。既存設備への後付け設置や多様な認証方式への対応により、高い評価を得ている。
ビットキーのbitlock PROがBOXIL SaaS AWARDで入退室管理システム部門1...
株式会社ビットキーのスマートロック「bitlock PRO」が、BOXIL SaaS AWARD 2025の入退室管理システム部門で1位を獲得。さらにBOXIL SaaS AWARD Spring 2025でもGood Serviceを3期連続受賞し、使いやすさやカスタマイズ性など8項目でNo.1評価を獲得。既存設備への後付け設置や多様な認証方式への対応により、高い評価を得ている。
株式会社UnReactがShopify向けSNS誘導アプリをリリース、ノーコードで追従アイコン...
福岡のITベンチャー企業UnReactが、Shopifyストア向けアプリ「シンプルSNS誘導|お手軽追従SNSアイコン」を公開。Instagram、Facebook、X、LINEなど主要SNSへの誘導用追従アイコンを、コーディング不要で設置可能。カスタムアイコンにも対応し、商品ページやカートページなどストア全体でSNS誘導を実現する機能を搭載している。
株式会社UnReactがShopify向けSNS誘導アプリをリリース、ノーコードで追従アイコン...
福岡のITベンチャー企業UnReactが、Shopifyストア向けアプリ「シンプルSNS誘導|お手軽追従SNSアイコン」を公開。Instagram、Facebook、X、LINEなど主要SNSへの誘導用追従アイコンを、コーディング不要で設置可能。カスタムアイコンにも対応し、商品ページやカートページなどストア全体でSNS誘導を実現する機能を搭載している。
アクシスコミュニケーションズが2N製品ポートフォリオの日本展開を開始、次世代セキュリティシステ...
アクシスコミュニケーションズは2025年3月5日より、先進的なIPベースのインターコムとドアエントリーシステムを特徴とする2N製品ポートフォリオの日本市場での販売を開始する。シームレスな統合と高度な暗号化技術により、企業のセキュリティと運用効率の向上を実現。タッチレスアクセスコントロールや一元管理機能を備え、デジタルトランスフォーメーションを推進する日本企業のニーズに対応する。
アクシスコミュニケーションズが2N製品ポートフォリオの日本展開を開始、次世代セキュリティシステ...
アクシスコミュニケーションズは2025年3月5日より、先進的なIPベースのインターコムとドアエントリーシステムを特徴とする2N製品ポートフォリオの日本市場での販売を開始する。シームレスな統合と高度な暗号化技術により、企業のセキュリティと運用効率の向上を実現。タッチレスアクセスコントロールや一元管理機能を備え、デジタルトランスフォーメーションを推進する日本企業のニーズに対応する。
ジンベイが建設業界向け生成AIリサーチアシスタントを発表、情報収集業務の効率化を実現へ
ジンベイ株式会社は建設業界向けの生成AIリサーチアシスタント「ジンベイ DeepResearch for 建設業」を発表した。建築法規の調査、施工事例の検索、資材情報の収集など、建設プロジェクトに必要な情報収集・分析を自動化することで、業界特有の課題解決をサポートする。AIによる情報収集の効率化と、データ分析に基づく意思決定支援により、建設業界のDX推進を加速させる取り組みとなる。
ジンベイが建設業界向け生成AIリサーチアシスタントを発表、情報収集業務の効率化を実現へ
ジンベイ株式会社は建設業界向けの生成AIリサーチアシスタント「ジンベイ DeepResearch for 建設業」を発表した。建築法規の調査、施工事例の検索、資材情報の収集など、建設プロジェクトに必要な情報収集・分析を自動化することで、業界特有の課題解決をサポートする。AIによる情報収集の効率化と、データ分析に基づく意思決定支援により、建設業界のDX推進を加速させる取り組みとなる。
レバレジーズが雇用育成型サテライトオフィス「ワークリアstep」の3拠点目を渋谷に開設、障がい...
レバレジーズ株式会社が運営する若年層の精神発達障がいに特化した雇用育成型サテライトオフィスサービス「ワークリアstep」の3拠点目を渋谷に開設。2024年4月の法定雇用率引き上げに伴う企業の障がい者雇用ニーズに対応し、サテライトオフィスでのスキル習得から雇用元企業での直接雇用までをサポート。初月のサービス利用料1名分無料キャンペーンも実施。
レバレジーズが雇用育成型サテライトオフィス「ワークリアstep」の3拠点目を渋谷に開設、障がい...
レバレジーズ株式会社が運営する若年層の精神発達障がいに特化した雇用育成型サテライトオフィスサービス「ワークリアstep」の3拠点目を渋谷に開設。2024年4月の法定雇用率引き上げに伴う企業の障がい者雇用ニーズに対応し、サテライトオフィスでのスキル習得から雇用元企業での直接雇用までをサポート。初月のサービス利用料1名分無料キャンペーンも実施。
【CVE-2025-24412】Adobe Commerce 2.4.8-beta1以前のバー...
Adobe社がCommerce 2.4.8-beta1以前のバージョンにおける重大な脆弱性を公表した。低権限の攻撃者による悪意のあるスクリプト注入が可能で、CVSSスコア8.7の高リスク評価となっている。被害者がスクリプトの埋め込まれたページを閲覧した際にJavaScriptが実行され、セッション乗っ取りによる情報漏洩のリスクが指摘されている。影響範囲は広く、早急な対応が求められる。
【CVE-2025-24412】Adobe Commerce 2.4.8-beta1以前のバー...
Adobe社がCommerce 2.4.8-beta1以前のバージョンにおける重大な脆弱性を公表した。低権限の攻撃者による悪意のあるスクリプト注入が可能で、CVSSスコア8.7の高リスク評価となっている。被害者がスクリプトの埋め込まれたページを閲覧した際にJavaScriptが実行され、セッション乗っ取りによる情報漏洩のリスクが指摘されている。影響範囲は広く、早急な対応が求められる。
【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...
WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。
【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...
WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。
【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...
WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。
【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...
WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。
【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...
WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。
【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...
WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。
【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...
WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。
【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...
WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。