Tech Insights

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱性、アプリケーション異常終了のリスクに対処

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOSでアップデート対応開始

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

米Googleは2025年2月5日、AIモデル「Gemini 2.0」の全ユーザーへの提供を開始すると発表した。デスクトップとモバイルの「Gemini」アプリでの「2.0 Flash」提供に続き、Google AI StudioとVertex AIのGemini APIでも提供を開始。開発者は本番環境でのアプリケーション構築が可能になり、高効率なAI機能の実装が実現可能に。

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

米Googleは2025年2月5日、AIモデル「Gemini 2.0」の全ユーザーへの提供を開始すると発表した。デスクトップとモバイルの「Gemini」アプリでの「2.0 Flash」提供に続き、Google AI StudioとVertex AIのGemini APIでも提供を開始。開発者は本番環境でのアプリケーション構築が可能になり、高効率なAI機能の実装が実現可能に。

サイオステクノロジーとAI-OCR機能搭載の複合機向けソフトウェアQuickスキャン AIを提供開始、業務効率化を促進

サイオステクノロジーとAI-OCR機能搭載の複合機向けソフトウェアQuickスキャン AIを提...

サイオステクノロジー株式会社と株式会社大塚商会が、複合機向けソフトウェア「Quickスキャン」の新版「Quickスキャン AI」を2025年3月24日より提供開始する。AI-OCR機能を新たに搭載し、手書き文字の認識が可能となった新バージョンでは、業務プロセスを大きく変えることなく文書のデジタル化を実現。中堅・中小企業向けのサブスクリプション型での提供も予定している。

サイオステクノロジーとAI-OCR機能搭載の複合機向けソフトウェアQuickスキャン AIを提...

サイオステクノロジー株式会社と株式会社大塚商会が、複合機向けソフトウェア「Quickスキャン」の新版「Quickスキャン AI」を2025年3月24日より提供開始する。AI-OCR機能を新たに搭載し、手書き文字の認識が可能となった新バージョンでは、業務プロセスを大きく変えることなく文書のデジタル化を実現。中堅・中小企業向けのサブスクリプション型での提供も予定している。

ViXionがViXion01S用アプリにAcrodea IoTを採用、スマートフォンでのキャリブレーションと機能拡張を実現

ViXionがViXion01S用アプリにAcrodea IoTを採用、スマートフォンでのキャ...

ViXion株式会社はオートフォーカスアイウェアViXion01S用のスマートフォンアプリ開発においてWHDCアクロディアの「Acrodea IoT」を採用。スマートフォンからのキャリブレーション操作や機能拡張を可能にし、ViXion Blinkによるミニプログラムのインストールにも対応。製品の使いやすさを向上させ、よりパーソナライズされた視覚サポートを実現する。

ViXionがViXion01S用アプリにAcrodea IoTを採用、スマートフォンでのキャ...

ViXion株式会社はオートフォーカスアイウェアViXion01S用のスマートフォンアプリ開発においてWHDCアクロディアの「Acrodea IoT」を採用。スマートフォンからのキャリブレーション操作や機能拡張を可能にし、ViXion Blinkによるミニプログラムのインストールにも対応。製品の使いやすさを向上させ、よりパーソナライズされた視覚サポートを実現する。

トヨタシステムズがOracle Exadata Cloud@Customerを採用、トヨタグループ向け社内システムのデータベース基盤を統合し運用効率を向上

トヨタシステムズがOracle Exadata Cloud@Customerを採用、トヨタグル...

トヨタシステムズは2025年2月5日、トヨタグループ向け社内システムの共通データベース基盤としてOracle Cloud InfrastructureのOracle Exadata Cloud@Customerを導入した。数百の社内システムのデータベース環境を統合し、自社データセンター内でマネージド・サービスとして運用することで、高可用性と高性能な基盤を実現している。

トヨタシステムズがOracle Exadata Cloud@Customerを採用、トヨタグル...

トヨタシステムズは2025年2月5日、トヨタグループ向け社内システムの共通データベース基盤としてOracle Cloud InfrastructureのOracle Exadata Cloud@Customerを導入した。数百の社内システムのデータベース環境を統合し、自社データセンター内でマネージド・サービスとして運用することで、高可用性と高性能な基盤を実現している。

Transreportと阪急電鉄が介助予約Webアプリを提供開始、バリアフリー化の実現に向け利便性向上へ

Transreportと阪急電鉄が介助予約Webアプリを提供開始、バリアフリー化の実現に向け利...

Transreport Japan株式会社は阪急電鉄と共同で、障がい者や高齢者向けの介助予約Webアプリケーションを2025年春より提供開始する。英国では100万人以上が利用し高評価を得ている同システムは、乗客の簡単な操作で介助をリクエストでき、駅係員の効率的な対応を可能にする。現在87駅で導入され月間22,000件以上の介助を処理しており、公共交通機関全体のバリアフリー化向上に貢献している。

Transreportと阪急電鉄が介助予約Webアプリを提供開始、バリアフリー化の実現に向け利...

Transreport Japan株式会社は阪急電鉄と共同で、障がい者や高齢者向けの介助予約Webアプリケーションを2025年春より提供開始する。英国では100万人以上が利用し高評価を得ている同システムは、乗客の簡単な操作で介助をリクエストでき、駅係員の効率的な対応を可能にする。現在87駅で導入され月間22,000件以上の介助を処理しており、公共交通機関全体のバリアフリー化向上に貢献している。

AkkodisがBarhead Solutionsを買収、マイクロソフト関連ソリューションの強化でオーストラリア事業を拡大

AkkodisがBarhead Solutionsを買収、マイクロソフト関連ソリューションの強...

グローバルデジタルエンジニアリング企業のAkkodisが、オーストラリアのマイクロソフトビジネスアプリケーションパートナーBarhead Solutionsを買収。両社の統合により、CRM、ERP、ローコードソリューションなど幅広いサービス提供が可能に。マイクロソフトパートナーオブザイヤー受賞歴を持つ両社の技術力を活かし、オーストラリアでの事業基盤強化とデジタルトランスフォーメーション支援を加速する。

AkkodisがBarhead Solutionsを買収、マイクロソフト関連ソリューションの強...

グローバルデジタルエンジニアリング企業のAkkodisが、オーストラリアのマイクロソフトビジネスアプリケーションパートナーBarhead Solutionsを買収。両社の統合により、CRM、ERP、ローコードソリューションなど幅広いサービス提供が可能に。マイクロソフトパートナーオブザイヤー受賞歴を持つ両社の技術力を活かし、オーストラリアでの事業基盤強化とデジタルトランスフォーメーション支援を加速する。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtimeAPI機能を追加、リアルタイム対話システムの実装が容易に

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの脆弱性が発見、プロフィール画像機能での任意コード実行が可能に

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-13234】Product Table by WBWにSQLインジェクションの脆弱性、未認証での攻撃が可能に

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にXSS脆弱性、貢献者権限で悪用の可能性

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サンドボックス制限を強化

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル解析時の異常終了問題に対処

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証済みユーザーによるSQLインジェクションの脆弱性が発見、データベースからの機密情報抽出のリスクに

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13758】CP Contact Form with PayPalでCSRF脆弱性を確認、管理者権限での不正操作が可能に

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なSQLインジェクション脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0846】Employee Task Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。