Tech Insights

【CVE-2025-29429】教育機関向けOnline Class and Exam Scheduling System V1.0にXSS脆弱性、早急な対応が必要に

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル削除が可能に

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃によるシステム侵害の危険性が判明

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にヒープベースバッファオーバーフローの脆弱性が発見され、CVE-2025-2618として公開された。CVSSスコアは最大10.0を記録し、リモートからの攻撃が可能でユーザー認証も不要という深刻な状況。既に攻撃コードが公開されており、サポート終了製品であることから早急な対応が必要とされている。

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にヒープベースバッファオーバーフローの脆弱性が発見され、CVE-2025-2618として公開された。CVSSスコアは最大10.0を記録し、リモートからの攻撃が可能でユーザー認証も不要という深刻な状況。既に攻撃コードが公開されており、サポート終了製品であることから早急な対応が必要とされている。

【CVE-2025-2680】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2025-2680】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-assign-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2680として登録されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1/3.0で7.3(HIGH)と評価され、特権やユーザー操作不要でリモートから攻撃可能。既に攻撃手法が公開されており、早急な対策が求められている。

【CVE-2025-2680】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-assign-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2680として登録されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1/3.0で7.3(HIGH)と評価され、特権やユーザー操作不要でリモートから攻撃可能。既に攻撃手法が公開されており、早急な対策が求められている。

【CVE-2025-2679】PHPGurukul Bank Locker Management Systemに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-2679】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のcontact-us.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2679として識別されるこの脆弱性は、CVSS 3.1で7.3(HIGH)と評価される深刻なものであり、リモートからの攻撃が可能で既に攻撃コードが公開されている。認証を必要としないため、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2679】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のcontact-us.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2679として識別されるこの脆弱性は、CVSS 3.1で7.3(HIGH)と評価される深刻なものであり、リモートからの攻撃が可能で既に攻撃コードが公開されている。認証を必要としないため、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2675】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融データ漏洩のリスクに警戒

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

GoogleがDriveのPDF ViewerでGemini機能を20言語以上に拡大、文書理解と活用が多言語で可能に

GoogleがDriveのPDF ViewerでGemini機能を20言語以上に拡大、文書理解...

GoogleはGoogle DriveのPDF ViewerにおけるGemini機能の対応言語を拡大し、日本語やスペイン語、フランス語など20言語以上での利用を開始した。この拡張により、長文PDFの概要把握や内容を活用した新規コンテンツ作成が各言語で可能になる。機能はWorkspace特定プランユーザーが利用可能で、3月26日から15日間かけて段階的に展開される。

GoogleがDriveのPDF ViewerでGemini機能を20言語以上に拡大、文書理解...

GoogleはGoogle DriveのPDF ViewerにおけるGemini機能の対応言語を拡大し、日本語やスペイン語、フランス語など20言語以上での利用を開始した。この拡張により、長文PDFの概要把握や内容を活用した新規コンテンツ作成が各言語で可能になる。機能はWorkspace特定プランユーザーが利用可能で、3月26日から15日間かけて段階的に展開される。

Microsoftが新たな通知機能の問題を報告、Windows 11 24H2環境でOutlookのデスクトップアラートが他アプリに隠れる現象が発生

Microsoftが新たな通知機能の問題を報告、Windows 11 24H2環境でOutlo...

Windows 11バージョン24H2環境において、Microsoft Outlookのデスクトップアラート機能に重大な問題が発生している。PowerPoint、Word、Teamsなどのアプリケーションがアクティブな状態では、Outlookからの通知が背面に隠れてしまい、通知クリック時にはタスクバーのアイコンが点滅するのみとなる。現在Windowsチームが原因を調査中で、影響を受けるバージョンはOutlook for Microsoft 365からOutlook 2016まで多岐にわたる。

Microsoftが新たな通知機能の問題を報告、Windows 11 24H2環境でOutlo...

Windows 11バージョン24H2環境において、Microsoft Outlookのデスクトップアラート機能に重大な問題が発生している。PowerPoint、Word、Teamsなどのアプリケーションがアクティブな状態では、Outlookからの通知が背面に隠れてしまい、通知クリック時にはタスクバーのアイコンが点滅するのみとなる。現在Windowsチームが原因を調査中で、影響を受けるバージョンはOutlook for Microsoft 365からOutlook 2016まで多岐にわたる。

GoogleがGemini 2.5を発表、思考モデルによる強力な推論能力とコーディング能力を実現

GoogleがGemini 2.5を発表、思考モデルによる強力な推論能力とコーディング能力を実現

GoogleはGemini 2.5を発表し、複雑な問題に取り組むための思考モデルを実現した。初期モデルのGemini 2.5 Pro Experimentalは一般的なAIベンチマークで首位を獲得し、強力な推論能力とコーディング能力を示している。100万トークンのコンテキストウィンドウと多様な情報源への対応により、より高度な問題解決が可能になった。

GoogleがGemini 2.5を発表、思考モデルによる強力な推論能力とコーディング能力を実現

GoogleはGemini 2.5を発表し、複雑な問題に取り組むための思考モデルを実現した。初期モデルのGemini 2.5 Pro Experimentalは一般的なAIベンチマークで首位を獲得し、強力な推論能力とコーディング能力を示している。100万トークンのコンテキストウィンドウと多様な情報源への対応により、より高度な問題解決が可能になった。

AppleがWWDC25の開催を発表、ハイブリッド形式で開発者との交流を強化へ

AppleがWWDC25の開催を発表、ハイブリッド形式で開発者との交流を強化へ

米Appleは2025年6月9日から13日まで年次開発者会議「WWDC25」をオンラインで開催することを発表した。すべての開発者が無料で参加可能で、開会日にはApple Parkでリアルイベントも実施される。開発者はキーノートやビデオセッション、オンラインラボを通じて最新のAppleソフトウェアとテクノロジーを学ぶことができる。

AppleがWWDC25の開催を発表、ハイブリッド形式で開発者との交流を強化へ

米Appleは2025年6月9日から13日まで年次開発者会議「WWDC25」をオンラインで開催することを発表した。すべての開発者が無料で参加可能で、開会日にはApple Parkでリアルイベントも実施される。開発者はキーノートやビデオセッション、オンラインラボを通じて最新のAppleソフトウェアとテクノロジーを学ぶことができる。

電通総研とエクスモーションがEureka Boxエンタープライズ版を提供開始、製造業の次世代エンジニア育成を強化

電通総研とエクスモーションがEureka Boxエンタープライズ版を提供開始、製造業の次世代エ...

電通総研とエクスモーションは製造業のエンジニアを対象としたオンライン学習プラットフォーム「Eureka Box」エンタープライズ版の提供を2025年3月26日より開始する。Over The Air技術をはじめとする先端テクノロジーの普及に伴う製品開発の高度化とリスキリングを支援し、1,500を超える豊富な学習コンテンツを3段階のレベルで提供する。

電通総研とエクスモーションがEureka Boxエンタープライズ版を提供開始、製造業の次世代エ...

電通総研とエクスモーションは製造業のエンジニアを対象としたオンライン学習プラットフォーム「Eureka Box」エンタープライズ版の提供を2025年3月26日より開始する。Over The Air技術をはじめとする先端テクノロジーの普及に伴う製品開発の高度化とリスキリングを支援し、1,500を超える豊富な学習コンテンツを3段階のレベルで提供する。

UnReactがShopifyストア向けSNSアイコン表示アプリをリリース、サンクスページのカスタマイズが容易に

UnReactがShopifyストア向けSNSアイコン表示アプリをリリース、サンクスページのカ...

福岡県のITベンチャー企業UnReactが、Shopifyストア向けの新アプリ「サンクスページをカスタマイズしSNSアイコンを表示するアプリ」をリリース。サンクスページへのSNSアイコン表示機能を提供し、ノーコードでの簡単設定を実現。アイコンサイズや配置位置の調整も可能で、ブランド認知度向上やSNSフォロワー数の増加を支援する。

UnReactがShopifyストア向けSNSアイコン表示アプリをリリース、サンクスページのカ...

福岡県のITベンチャー企業UnReactが、Shopifyストア向けの新アプリ「サンクスページをカスタマイズしSNSアイコンを表示するアプリ」をリリース。サンクスページへのSNSアイコン表示機能を提供し、ノーコードでの簡単設定を実現。アイコンサイズや配置位置の調整も可能で、ブランド認知度向上やSNSフォロワー数の増加を支援する。

Will SmartとハウディがモビリティDXのIoT技術強化で協業、公共交通の自動化とサービス向上を推進

Will SmartとハウディがモビリティDXのIoT技術強化で協業、公共交通の自動化とサービ...

Will Smartとハウディは2025年3月25日、モビリティDXを支えるIoT技術の強化に向けて協業契約を締結した。Will Smartのモビリティ業界における顧客基盤と事業課題への理解力、ハウディのIoT・AI技術を活かし、現場業務の無人化や自動化を推進。利用者の減少や人材不足などの課題に直面する公共交通機関のデジタル化を加速させる。

Will SmartとハウディがモビリティDXのIoT技術強化で協業、公共交通の自動化とサービ...

Will Smartとハウディは2025年3月25日、モビリティDXを支えるIoT技術の強化に向けて協業契約を締結した。Will Smartのモビリティ業界における顧客基盤と事業課題への理解力、ハウディのIoT・AI技術を活かし、現場業務の無人化や自動化を推進。利用者の減少や人材不足などの課題に直面する公共交通機関のデジタル化を加速させる。

インフラジスティックスがApp Builder AIを強化、生成AI機能の実装でローコード開発の効率が向上

インフラジスティックスがApp Builder AIを強化、生成AI機能の実装でローコード開発...

インフラジスティックス・ジャパンは、ローコード開発ツール「App Builder」に3つの生成AI機能を実装したプレビュー版をリリースした。UIビュー生成、データソース生成、画像生成の機能により、開発効率の向上とプロトタイプ作成時間の短縮を実現。企業のデータ保護とプライバシーにも配慮し、エンタープライズ利用に適した設計となっている。

インフラジスティックスがApp Builder AIを強化、生成AI機能の実装でローコード開発...

インフラジスティックス・ジャパンは、ローコード開発ツール「App Builder」に3つの生成AI機能を実装したプレビュー版をリリースした。UIビュー生成、データソース生成、画像生成の機能により、開発効率の向上とプロトタイプ作成時間の短縮を実現。企業のデータ保護とプライバシーにも配慮し、エンタープライズ利用に適した設計となっている。

エンバイトがRepro Appを活用し応募数が前年比133%に増加、プッシュ通知施策で顕著な効果を実現

エンバイトがRepro Appを活用し応募数が前年比133%に増加、プッシュ通知施策で顕著な効...

Repro株式会社は、エン・ジャパン株式会社が運営する派遣型アルバイト情報アプリ「エンバイト」へのRepro App導入事例を発表した。2023年8月の導入以降、約3カ月で応募数が前年同月比133%に増加。特にプッシュ通知施策では開封率最大33.2%、応募率8.8%を達成し、アプリマーケティングツールの効果を実証している。

エンバイトがRepro Appを活用し応募数が前年比133%に増加、プッシュ通知施策で顕著な効...

Repro株式会社は、エン・ジャパン株式会社が運営する派遣型アルバイト情報アプリ「エンバイト」へのRepro App導入事例を発表した。2023年8月の導入以降、約3カ月で応募数が前年同月比133%に増加。特にプッシュ通知施策では開封率最大33.2%、応募率8.8%を達成し、アプリマーケティングツールの効果を実証している。

ラキールがLaKeel HRに人事考課機能を追加、AIを活用した評価業務の効率化と戦略人事の実現へ

ラキールがLaKeel HRに人事考課機能を追加、AIを活用した評価業務の効率化と戦略人事の実現へ

株式会社ラキールは統合人事システムLaKeel HRの新機能として人事考課機能をリリース。AIを活用した評価フォームの自動生成や評価データの分析機能を搭載し、評価業務の効率化と適正な評価を実現。マイクロサービスアーキテクチャの採用により評価制度の変更にも柔軟に対応可能で、将来的にはAIによる目標設定や課題の提案機能も予定している。

ラキールがLaKeel HRに人事考課機能を追加、AIを活用した評価業務の効率化と戦略人事の実現へ

株式会社ラキールは統合人事システムLaKeel HRの新機能として人事考課機能をリリース。AIを活用した評価フォームの自動生成や評価データの分析機能を搭載し、評価業務の効率化と適正な評価を実現。マイクロサービスアーキテクチャの採用により評価制度の変更にも柔軟に対応可能で、将来的にはAIによる目標設定や課題の提案機能も予定している。

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復旧とメールセキュリティを強化

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復...

ESETは2025年3月26日、ランサムウェアの暗号化からの復旧機能「ランサムウェア修復」を搭載したESET PROTECT Platformの新バージョンを発表した。独自のストレージ保護技術でバックアップデータを守り、なりすまし対策とホモグリフ攻撃対策機能も追加してメールセキュリティを強化。さらにAI Advisorの機能拡充により、インシデント対応の効率化を実現する。

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復...

ESETは2025年3月26日、ランサムウェアの暗号化からの復旧機能「ランサムウェア修復」を搭載したESET PROTECT Platformの新バージョンを発表した。独自のストレージ保護技術でバックアップデータを守り、なりすまし対策とホモグリフ攻撃対策機能も追加してメールセキュリティを強化。さらにAI Advisorの機能拡充により、インシデント対応の効率化を実現する。

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を加速する包括的なソリューション提供へ

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を...

エムシーデジタルは2025年3月26日、Google Cloud Sellパートナーの認定を取得。5年以上のGoogle Cloud活用実績を持つ同社は、生成AI、数理最適化、機械学習など、高度な技術を活用したソリューションを提供している。PG BATTLE2年連続優勝やKaggle Grandmaster・Master在籍など、高い技術力を持つ同社の今後の展開に注目が集まる。

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を...

エムシーデジタルは2025年3月26日、Google Cloud Sellパートナーの認定を取得。5年以上のGoogle Cloud活用実績を持つ同社は、生成AI、数理最適化、機械学習など、高度な技術を活用したソリューションを提供している。PG BATTLE2年連続優勝やKaggle Grandmaster・Master在籍など、高い技術力を持つ同社の今後の展開に注目が集まる。

オラクルとNVIDIAがエンタープライズAI統合を発表、企業のAIアプリケーション開発が大幅に効率化へ

オラクルとNVIDIAがエンタープライズAI統合を発表、企業のAIアプリケーション開発が大幅に...

オラクルとNVIDIAが初のAI統合ソリューションを発表。Oracle Cloud InfrastructureとNVIDIA AI Enterpriseの統合により、160以上のAIツールと100以上のNVIDA NIMマイクロサービスがネイティブで利用可能に。Oracle DatabaseとNVIDIA AIの連携で、企業のエージェント型AIアプリケーション開発が加速する。

オラクルとNVIDIAがエンタープライズAI統合を発表、企業のAIアプリケーション開発が大幅に...

オラクルとNVIDIAが初のAI統合ソリューションを発表。Oracle Cloud InfrastructureとNVIDIA AI Enterpriseの統合により、160以上のAIツールと100以上のNVIDA NIMマイクロサービスがネイティブで利用可能に。Oracle DatabaseとNVIDIA AIの連携で、企業のエージェント型AIアプリケーション開発が加速する。

アルテアがAltair HyperWorks 2025を発表、AIとクラウドで製品開発の効率化を実現へ

アルテアがAltair HyperWorks 2025を発表、AIとクラウドで製品開発の効率化...

アルテアエンジニアリングが設計・シミュレーションプラットフォームAltair HyperWorks 2025を発表した。新しいTransformerアーキテクチャによる高精度シミュレーション、従量課金制のクラウドソリューション、デジタルツイン技術の強化など、製品開発プロセスを革新する機能が追加された。AIと機械学習を活用した最適化機能により、試作品ゼロの製品開発の実現を目指している。

アルテアがAltair HyperWorks 2025を発表、AIとクラウドで製品開発の効率化...

アルテアエンジニアリングが設計・シミュレーションプラットフォームAltair HyperWorks 2025を発表した。新しいTransformerアーキテクチャによる高精度シミュレーション、従量課金制のクラウドソリューション、デジタルツイン技術の強化など、製品開発プロセスを革新する機能が追加された。AIと機械学習を活用した最適化機能により、試作品ゼロの製品開発の実現を目指している。

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参照の脆弱性を発見、ローカル実行による攻撃の可能性

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参...

セキュリティ機関VulDBが、libarchiveの3.7.7以前のバージョンにおいてヌルポインタ参照の脆弱性を発見した。bsdunzip.cファイルのlist関数に存在するこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSS 4.0で中程度(スコア4.8)と評価されている。すでに脆弱性の詳細が公開されており、実際の攻撃に利用される可能性も指摘されているため、早急な対応が求められる。

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参...

セキュリティ機関VulDBが、libarchiveの3.7.7以前のバージョンにおいてヌルポインタ参照の脆弱性を発見した。bsdunzip.cファイルのlist関数に存在するこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSS 4.0で中程度(スコア4.8)と評価されている。すでに脆弱性の詳細が公開されており、実際の攻撃に利用される可能性も指摘されているため、早急な対応が求められる。

【CVE-2025-1517】Sina Extension for Elementor 3.6.0以下にXSS脆弱性、投稿者権限で悪用の可能性

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱性、管理者権限の不正操作が可能に

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱...

WordPressのAIコンテンツ管理プラグイン「Aiomatic」において、バージョン2.3.6以前の全バージョンで認証機能の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者権限の操作を実行可能となっており、投稿の更新や削除、各種設定の変更などが不正に行える状態となっている。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱...

WordPressのAIコンテンツ管理プラグイン「Aiomatic」において、バージョン2.3.6以前の全バージョンで認証機能の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者権限の操作を実行可能となっており、投稿の更新や削除、各種設定の変更などが不正に行える状態となっている。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエラーページで発生

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、認証済みユーザーによる情報漏洩の危険性

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプションの不正更新のリスクが発生

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトスクリプティングの脆弱性、管理者機能が攻撃対象に

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、リモート攻撃のリスクが判明

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-2684】PHPGurukul Bank Locker Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2684】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。

【CVE-2025-2684】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。

【CVE-2025-2681】PHPGurukul Bank Locker Management Systemに深刻な脆弱性、遠隔からの攻撃が可能に

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。