Tech Insights

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOSでアップデート対応開始

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

日立ソリューションズがネットワークパス自己監視サービスを開始、従業員のデジタルエクスペリエンス向上に貢献

日立ソリューションズがネットワークパス自己監視サービスを開始、従業員のデジタルエクスペリエンス...

日立ソリューションズは2025年2月5日より、企業内ネットワークや広域ネットワークのアクセス状況を監視・分析し、障害の発生箇所や影響範囲を従業員が利用するデバイス上にリアルタイムで表示する「ネットワークパス自己監視サービス」の提供を開始した。Cisco ThousandEyesを活用し、従業員のネットワークストレス緩和とDEX向上を支援する。

日立ソリューションズがネットワークパス自己監視サービスを開始、従業員のデジタルエクスペリエンス...

日立ソリューションズは2025年2月5日より、企業内ネットワークや広域ネットワークのアクセス状況を監視・分析し、障害の発生箇所や影響範囲を従業員が利用するデバイス上にリアルタイムで表示する「ネットワークパス自己監視サービス」の提供を開始した。Cisco ThousandEyesを活用し、従業員のネットワークストレス緩和とDEX向上を支援する。

ラキールがLaKeel Data Insightに生成AI機能を追加、自然言語での対話型データ分析が可能に

ラキールがLaKeel Data Insightに生成AI機能を追加、自然言語での対話型データ...

株式会社ラキールは、データ分析・統合管理プラットフォーム「LaKeel Data Insight」に生成AIを活用した新機能「LaKeel AI Discovery」を追加する。自然言語での対話によるデータ検索・集計が可能になり、SQLなどの専門知識が不要に。表形式やグラフ形式での出力に対応し、アクセス制御機能も実装された。

ラキールがLaKeel Data Insightに生成AI機能を追加、自然言語での対話型データ...

株式会社ラキールは、データ分析・統合管理プラットフォーム「LaKeel Data Insight」に生成AIを活用した新機能「LaKeel AI Discovery」を追加する。自然言語での対話によるデータ検索・集計が可能になり、SQLなどの専門知識が不要に。表形式やグラフ形式での出力に対応し、アクセス制御機能も実装された。

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのアクセスが向上

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのア...

株式会社シーエムシー出版が『機能性ポリウレタンの進化と展望《普及版》』を2025年2月6日に発刊する。古川睦久氏と和田浩志氏の監修のもと、31名の専門家がポリウレタンの基礎から応用までを網羅的に解説。335頁の大作が税込5,610円で提供され、自動車内装材から3Dプリンター用樹脂まで、最新の応用分野について詳細な情報を得ることが可能になる。

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのア...

株式会社シーエムシー出版が『機能性ポリウレタンの進化と展望《普及版》』を2025年2月6日に発刊する。古川睦久氏と和田浩志氏の監修のもと、31名の専門家がポリウレタンの基礎から応用までを網羅的に解説。335頁の大作が税込5,610円で提供され、自動車内装材から3Dプリンター用樹脂まで、最新の応用分野について詳細な情報を得ることが可能になる。

埼玉県企業がベトナムでAWINGのWi-Fi広告プラットフォームを活用、現地での認知度向上とマーケティングデータの収集に成功

埼玉県企業がベトナムでAWINGのWi-Fi広告プラットフォームを活用、現地での認知度向上とマ...

埼玉県産業振興公社からの委託を受けたFUN! JAPANとNTTイーアジアが、AWINGのWi-Fi広告プラットフォームを活用してベトナムでのプロモーションを実施。ホーチミンのイベント会場周辺で81.8%の高いクリック率を達成し、1,898件のアンケート回答を収集。グローバル展開における新たなマーケティング手法としての有効性が実証された。

埼玉県企業がベトナムでAWINGのWi-Fi広告プラットフォームを活用、現地での認知度向上とマ...

埼玉県産業振興公社からの委託を受けたFUN! JAPANとNTTイーアジアが、AWINGのWi-Fi広告プラットフォームを活用してベトナムでのプロモーションを実施。ホーチミンのイベント会場周辺で81.8%の高いクリック率を達成し、1,898件のアンケート回答を収集。グローバル展開における新たなマーケティング手法としての有効性が実証された。

セシオスがSeciossLinkとYoomのAPI連携を開始、アカウント管理の自動化で業務効率が向上

セシオスがSeciossLinkとYoomのAPI連携を開始、アカウント管理の自動化で業務効率が向上

株式会社セシオスは、クラウドサービスSeciossLinkとハイパーオートメーションツールYoomのAPI連携を2025年2月6日に開始した。この連携により、人事システムからのアカウント発行・変更・削除の自動化が実現し、Google WorkspaceやMicrosoft 365との連携も可能となった。新入社員の受け入れ業務における運用負荷の軽減が期待される。

セシオスがSeciossLinkとYoomのAPI連携を開始、アカウント管理の自動化で業務効率が向上

株式会社セシオスは、クラウドサービスSeciossLinkとハイパーオートメーションツールYoomのAPI連携を2025年2月6日に開始した。この連携により、人事システムからのアカウント発行・変更・削除の自動化が実現し、Google WorkspaceやMicrosoft 365との連携も可能となった。新入社員の受け入れ業務における運用負荷の軽減が期待される。

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

株式会社デイトラが実施した地方在住受講生97名への満足度調査で、約80%が地元でのキャリアアップを実現し、約48%が収入増加を達成した。調査では5段階評価で平均4.23という高い生活満足度も記録され、地方IT人材育成の新たな可能性を示す結果となった。特に収入増加者の約56%が100-200万円程度の収入増を達成するなど、具体的な成果が表れている。

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

株式会社デイトラが実施した地方在住受講生97名への満足度調査で、約80%が地元でのキャリアアップを実現し、約48%が収入増加を達成した。調査では5段階評価で平均4.23という高い生活満足度も記録され、地方IT人材育成の新たな可能性を示す結果となった。特に収入増加者の約56%が100-200万円程度の収入増を達成するなど、具体的な成果が表れている。

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

株式会社invoxが開発・運営する「invox経費精算」は、スマートフォンでの領収書アップロードおよび承認機能を追加した。iOSとAndroidのモバイル端末に対応し、外出先や作業現場などPCが使えない環境下でも経費精算業務が可能になった。従来のメール添付方式の課題を解決し、申請漏れの防止と承認プロセスの効率化を実現している。

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

株式会社invoxが開発・運営する「invox経費精算」は、スマートフォンでの領収書アップロードおよび承認機能を追加した。iOSとAndroidのモバイル端末に対応し、外出先や作業現場などPCが使えない環境下でも経費精算業務が可能になった。従来のメール添付方式の課題を解決し、申請漏れの防止と承認プロセスの効率化を実現している。

日本損害保険協会と11社が自賠責向け共同システムOne-JIBAIを提供開始、デジタル化による利便性向上へ

日本損害保険協会と11社が自賠責向け共同システムOne-JIBAIを提供開始、デジタル化による...

日本損害保険協会と損害保険会社・共済団体の計11社は、自動車損害賠償責任保険・共済の引受・契約管理業務に係る業界共同システムOne-JIBAIを2025年1月21日より提供開始した。このシステムにより非対面での手続きや保険料等払込のキャッシュレス化、自賠責証明書のPDFデータ交付が実現し、利便性が大幅に向上。今後も利用会社・団体を拡大し、デジタル化を推進していく方針だ。

日本損害保険協会と11社が自賠責向け共同システムOne-JIBAIを提供開始、デジタル化による...

日本損害保険協会と損害保険会社・共済団体の計11社は、自動車損害賠償責任保険・共済の引受・契約管理業務に係る業界共同システムOne-JIBAIを2025年1月21日より提供開始した。このシステムにより非対面での手続きや保険料等払込のキャッシュレス化、自賠責証明書のPDFデータ交付が実現し、利便性が大幅に向上。今後も利用会社・団体を拡大し、デジタル化を推進していく方針だ。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtimeAPI機能を追加、リアルタイム対話システムの実装が容易に

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性、NULLポインタ参照の危険性が浮上

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポインタ参照によるシステムクラッシュの危険性

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-deref対策で安定性向上へ

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライアントの安定性が向上へ

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライ...

Linuxカーネルの開発チームが、SMBクライアントにおける重要な脆弱性CVE-2025-21673の修正を公開した。この問題は、サーバーシャットダウン時にcifs_put_tcp_session関数内でTCP_Server_Infoのホスト名が二重に解放される脆弱性であり、システムの不安定化やクラッシュを引き起こす可能性がある。影響を受けるバージョンは5.16以降で、6.6.74以降および6.12.11以降では既に対策が実施されている。

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライ...

Linuxカーネルの開発チームが、SMBクライアントにおける重要な脆弱性CVE-2025-21673の修正を公開した。この問題は、サーバーシャットダウン時にcifs_put_tcp_session関数内でTCP_Server_Infoのホスト名が二重に解放される脆弱性であり、システムの不安定化やクラッシュを引き起こす可能性がある。影響を受けるバージョンは5.16以降で、6.6.74以降および6.12.11以降では既に対策が実施されている。

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇格のリスクで早急な対応が必要に

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇...

Dellは2025年1月15日、Display Managerのバージョン2.3.2.18未満に存在する重要な脆弱性情報を公開した。Time-of-check Time-of-use Race Conditionの問題により、ローカルアクセス権を持つ攻撃者によるコード実行や特権昇格のリスクが指摘されている。CVSSスコア6.7のミディアムレベルと評価されており、機密性、整合性、可用性のすべてに高レベルの影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇...

Dellは2025年1月15日、Display Managerのバージョン2.3.2.18未満に存在する重要な脆弱性情報を公開した。Time-of-check Time-of-use Race Conditionの問題により、ローカルアクセス権を持つ攻撃者によるコード実行や特権昇格のリスクが指摘されている。CVSSスコア6.7のミディアムレベルと評価されており、機密性、整合性、可用性のすべてに高レベルの影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任意のファイル削除のリスクが発覚

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任...

Dell EMCは2025年1月15日、Dell Display Managerのバージョン2.3.2.20未満に競合状態の脆弱性が存在することを公表した。CVE-2025-21101として識別されるこの脆弱性は、インストール時に悪意のあるローカルユーザーによって任意のフォルダやファイルの削除が可能になる状態であることが判明している。CVSSスコアは6.6(Medium)で、攻撃元区分はローカル、攻撃の複雑さは低いとされている。

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任...

Dell EMCは2025年1月15日、Dell Display Managerのバージョン2.3.2.20未満に競合状態の脆弱性が存在することを公表した。CVE-2025-21101として識別されるこの脆弱性は、インストール時に悪意のあるローカルユーザーによって任意のフォルダやファイルの削除が可能になる状態であることが判明している。CVSSスコアは6.6(Medium)で、攻撃元区分はローカル、攻撃の複雑さは低いとされている。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機能のクラッシュ問題に対処

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報アクセスが可能に

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サンドボックス制限を強化

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。