Tech Insights

リーガルテック社がVDRにAI孔明を統合、エネルギー・環境分野の法務・知財業務が効率化へ

リーガルテック社がVDRにAI孔明を統合、エネルギー・環境分野の法務・知財業務が効率化へ

リーガルテック株式会社は、バーチャルデータルーム「リーガルテックVDR」に独自開発の生成AI「AI孔明」を統合し、エネルギー・環境業界向けの新機能をリリースした。GXやRE100対応に必要な法令・契約・申請書類の管理を効率化し、企業のコンプライアンス強化と事業スピードの向上を支援する。API連携や排出量取引証明書のAI解析など、より高度な機能の実装も予定されている。

リーガルテック社がVDRにAI孔明を統合、エネルギー・環境分野の法務・知財業務が効率化へ

リーガルテック株式会社は、バーチャルデータルーム「リーガルテックVDR」に独自開発の生成AI「AI孔明」を統合し、エネルギー・環境業界向けの新機能をリリースした。GXやRE100対応に必要な法令・契約・申請書類の管理を効率化し、企業のコンプライアンス強化と事業スピードの向上を支援する。API連携や排出量取引証明書のAI解析など、より高度な機能の実装も予定されている。

SS1クラウドがHENNGE Oneとシングルサインオン連携、IT資産管理とセキュリティ強化を実現

SS1クラウドがHENNGE Oneとシングルサインオン連携、IT資産管理とセキュリティ強化を実現

株式会社ディー・オー・エスは、クラウド型IT資産管理ツール「SS1クラウド」がHENNGE株式会社の「HENNGE One」とのシングルサインオン連携を開始したことを発表した。IP制限や多要素認証によるアクセス制御機能を備え、IT資産の一元管理とセキュリティ強化を実現。Microsoft 365管理やPC稼働状況管理など、ハイブリッドワーク環境下での運用支援機能も提供している。

SS1クラウドがHENNGE Oneとシングルサインオン連携、IT資産管理とセキュリティ強化を実現

株式会社ディー・オー・エスは、クラウド型IT資産管理ツール「SS1クラウド」がHENNGE株式会社の「HENNGE One」とのシングルサインオン連携を開始したことを発表した。IP制限や多要素認証によるアクセス制御機能を備え、IT資産の一元管理とセキュリティ強化を実現。Microsoft 365管理やPC稼働状況管理など、ハイブリッドワーク環境下での運用支援機能も提供している。

GNA INDIAがカルナータカ州で先進的Wi-Fiアンテナ設置事業を開始、BSNLとの戦略的パートナーシップで地域のデジタル化を促進

GNA INDIAがカルナータカ州で先進的Wi-Fiアンテナ設置事業を開始、BSNLとの戦略的...

GNA INDIAはBSNLとの戦略的パートナーシップにより、インド南部カルナータカ州で先進的Wi-Fiアンテナ設置および通信サービス事業を開始する。州内20箇所に最新の通信インフラを展開し、地域住民とビジネスユーザーに高速で安定したインターネット接続を提供する。インド政府の247,000箇所のWi-Fiホットスポット展開計画の一環として位置づけられ、デジタルデバイドの解消を目指す。

GNA INDIAがカルナータカ州で先進的Wi-Fiアンテナ設置事業を開始、BSNLとの戦略的...

GNA INDIAはBSNLとの戦略的パートナーシップにより、インド南部カルナータカ州で先進的Wi-Fiアンテナ設置および通信サービス事業を開始する。州内20箇所に最新の通信インフラを展開し、地域住民とビジネスユーザーに高速で安定したインターネット接続を提供する。インド政府の247,000箇所のWi-Fiホットスポット展開計画の一環として位置づけられ、デジタルデバイドの解消を目指す。

AGSが企業向け生成AIサービス「AI-Zanmai」を提供開始、セキュアな業務活用基盤を実現へ

AGSが企業向け生成AIサービス「AI-Zanmai」を提供開始、セキュアな業務活用基盤を実現へ

AGS株式会社が2025年5月7日、企業・団体向け生成AIサービス「AI-Zanmai」の提供を開始した。AIチャットやナレッジ検索などの機能を複雑な設定なしで利用可能なクラウドサービスとして提供され、入出力結果をAIに学習させない設定や多要素認証などのセキュリティ機能も実装。Microsoft365との連携によってシングルサインオンにも対応し、企業での本格的な活用基盤を実現している。

AGSが企業向け生成AIサービス「AI-Zanmai」を提供開始、セキュアな業務活用基盤を実現へ

AGS株式会社が2025年5月7日、企業・団体向け生成AIサービス「AI-Zanmai」の提供を開始した。AIチャットやナレッジ検索などの機能を複雑な設定なしで利用可能なクラウドサービスとして提供され、入出力結果をAIに学習させない設定や多要素認証などのセキュリティ機能も実装。Microsoft365との連携によってシングルサインオンにも対応し、企業での本格的な活用基盤を実現している。

ダブルスタンダードがサクソバンク証券に「D-Confia」を提供、マイナンバーカードによる公的個人認証で口座開設プロセスが効率化

ダブルスタンダードがサクソバンク証券に「D-Confia」を提供、マイナンバーカードによる公的...

株式会社ダブルスタンダードは2025年5月8日、サクソバンク証券株式会社へオンライン本人確認サービス「D-Confia」を提供した。このサービスでは顔写真と本人確認書類の撮影による「ホ方式」とマイナンバーカードのICチップ読取による「ワ方式」の2種類の本人確認方法を提供。公的個人認証サービスの導入により口座開設の申込者に新たな選択肢を提供する。ダブルスタンダードは公的個人認証において主務大臣認定のプラットフォーム事業者として、サービス導入時の手続きや環境整備を行い事業者負担を削減する。

ダブルスタンダードがサクソバンク証券に「D-Confia」を提供、マイナンバーカードによる公的...

株式会社ダブルスタンダードは2025年5月8日、サクソバンク証券株式会社へオンライン本人確認サービス「D-Confia」を提供した。このサービスでは顔写真と本人確認書類の撮影による「ホ方式」とマイナンバーカードのICチップ読取による「ワ方式」の2種類の本人確認方法を提供。公的個人認証サービスの導入により口座開設の申込者に新たな選択肢を提供する。ダブルスタンダードは公的個人認証において主務大臣認定のプラットフォーム事業者として、サービス導入時の手続きや環境整備を行い事業者負担を削減する。

日本初の国産SAF供給が関西国際空港で開始、航空業界の脱炭素化に向けた新たな一歩

日本初の国産SAF供給が関西国際空港で開始、航空業界の脱炭素化に向けた新たな一歩

日揮ホールディングス、日本航空、関西エアポートは、2025年5月1日に関西国際空港からJAL JL891便に国産SAFの初供給を実施した。SAFFAIRE SKY ENERGYが製造した国内初の大規模SAF製造による持続可能な航空燃料が、実際の旅客便での運用を開始。航空業界の2050年CO2排出量実質ゼロを目指す取り組みの一環として、新たなマイルストーンを迎えた。

日本初の国産SAF供給が関西国際空港で開始、航空業界の脱炭素化に向けた新たな一歩

日揮ホールディングス、日本航空、関西エアポートは、2025年5月1日に関西国際空港からJAL JL891便に国産SAFの初供給を実施した。SAFFAIRE SKY ENERGYが製造した国内初の大規模SAF製造による持続可能な航空燃料が、実際の旅客便での運用を開始。航空業界の2050年CO2排出量実質ゼロを目指す取り組みの一環として、新たなマイルストーンを迎えた。

東陽テクニカがEMIレシーバー校正作業を80%自動化、校正効率が最大50%向上し作業時間を大幅短縮

東陽テクニカがEMIレシーバー校正作業を80%自動化、校正効率が最大50%向上し作業時間を大幅短縮

東陽テクニカは、EMIレシーバーの認定校正サービスにおいて校正作業全体の80%を自動化するシステムを独自開発し、5月7日より運用を開始した。ISO/IEC 17025校正機関として認定を受けているキャリブレーション・ラボラトリーで、20年以上にわたり高精度な校正サービスを提供している。自動化により校正効率が最大50%向上し、東陽EMCエンジニアリングのグループ会社化と合わせて事業拡大を推進している。

東陽テクニカがEMIレシーバー校正作業を80%自動化、校正効率が最大50%向上し作業時間を大幅短縮

東陽テクニカは、EMIレシーバーの認定校正サービスにおいて校正作業全体の80%を自動化するシステムを独自開発し、5月7日より運用を開始した。ISO/IEC 17025校正機関として認定を受けているキャリブレーション・ラボラトリーで、20年以上にわたり高精度な校正サービスを提供している。自動化により校正効率が最大50%向上し、東陽EMCエンジニアリングのグループ会社化と合わせて事業拡大を推進している。

JAPAN AIがModel Context Protocolに対応、AIエージェントのデータソース連携が大幅に効率化

JAPAN AIがModel Context Protocolに対応、AIエージェントのデータ...

JAPAN AIがAIエージェントとクラウドサービス間のデータ連携を効率化するModel Context Protocolへの対応を開始した。従来は個別に必要だったAPIや認証方式の実装が不要となり、開発工数の削減とスケーラビリティの向上を実現。GoogleドライブやSlackなど多様なサービスとの連携が可能になり、今後さらなるデータソース拡大を目指す。

JAPAN AIがModel Context Protocolに対応、AIエージェントのデータ...

JAPAN AIがAIエージェントとクラウドサービス間のデータ連携を効率化するModel Context Protocolへの対応を開始した。従来は個別に必要だったAPIや認証方式の実装が不要となり、開発工数の削減とスケーラビリティの向上を実現。GoogleドライブやSlackなど多様なサービスとの連携が可能になり、今後さらなるデータソース拡大を目指す。

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月からEdgeへの移行を推進

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月か...

Microsoft AuthenticatorのパスワードオートフィルがEdgeへ統合される。2025年6月から新規パスワード保存が停止され、7月には自動入力機能が完全に廃止。8月以降は保存済みパスワードへのアクセスも不可となる。支払い情報は削除されるが、パスキー機能は継続してサポートされる。ユーザーはMicrosoft Edgeでパスワード管理を継続可能だ。

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月か...

Microsoft AuthenticatorのパスワードオートフィルがEdgeへ統合される。2025年6月から新規パスワード保存が停止され、7月には自動入力機能が完全に廃止。8月以降は保存済みパスワードへのアクセスも不可となる。支払い情報は削除されるが、パスキー機能は継続してサポートされる。ユーザーはMicrosoft Edgeでパスワード管理を継続可能だ。

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機能を搭載

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機...

株式会社スイッチサイエンスは、M5Stack社開発のIoT端末開発デバイス「Tab5」の国内販売を2025年5月9日12時より開始する。5インチタッチディスプレイとESP32-C6-MINI-1U、ESP32-P4のデュアルSoCを搭載し、Wi-Fi 6やMatter、Thread対応の通信機能や2メガピクセルカメラによるエッジAI処理が可能。スイッチサイエンスウェブショップでの価格は9,878円に設定された。

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機...

株式会社スイッチサイエンスは、M5Stack社開発のIoT端末開発デバイス「Tab5」の国内販売を2025年5月9日12時より開始する。5インチタッチディスプレイとESP32-C6-MINI-1U、ESP32-P4のデュアルSoCを搭載し、Wi-Fi 6やMatter、Thread対応の通信機能や2メガピクセルカメラによるエッジAI処理が可能。スイッチサイエンスウェブショップでの価格は9,878円に設定された。

TOPPANエッジとPartisiaがデジタル学生証の実証実験を開始、顔認証とNFCで利便性とセキュリティを両立

TOPPANエッジとPartisiaがデジタル学生証の実証実験を開始、顔認証とNFCで利便性と...

TOPPANエッジとPartisia Applications ApSは、顔認証と分散型ID技術、NFCを組み合わせたデジタル学生証の実証実験をOISTで実施する。2025年6月から9月まで応用暗号ユニットの学生約50名を対象に行われ、EUのeIDAS2.0基準に準拠したセキュアな認証システムの実現を目指す。実証実験は出欠席管理や施設アクセスコントロールなどを検証する予定だ。

TOPPANエッジとPartisiaがデジタル学生証の実証実験を開始、顔認証とNFCで利便性と...

TOPPANエッジとPartisia Applications ApSは、顔認証と分散型ID技術、NFCを組み合わせたデジタル学生証の実証実験をOISTで実施する。2025年6月から9月まで応用暗号ユニットの学生約50名を対象に行われ、EUのeIDAS2.0基準に準拠したセキュアな認証システムの実現を目指す。実証実験は出欠席管理や施設アクセスコントロールなどを検証する予定だ。

Samsung WalletがTap to Transfer機能を米国で提供開始、スマートフォンをかざすだけで個人間送金が可能に

Samsung WalletがTap to Transfer機能を米国で提供開始、スマートフォ...

Samsung Electronics Americaは2025年5月後半より、米国向けにSamsung Walletに新機能「Tap to Transfer」を追加する。VisaまたはMastercardのデビットカードを利用し、NFCによる近接送金や電話番号による遠隔送金が可能となる。追加アプリ不要で数分以内の送金を実現し、Samsung Wallet非保有者へも送金できる画期的な機能だ。

Samsung WalletがTap to Transfer機能を米国で提供開始、スマートフォ...

Samsung Electronics Americaは2025年5月後半より、米国向けにSamsung Walletに新機能「Tap to Transfer」を追加する。VisaまたはMastercardのデビットカードを利用し、NFCによる近接送金や電話番号による遠隔送金が可能となる。追加アプリ不要で数分以内の送金を実現し、Samsung Wallet非保有者へも送金できる画期的な機能だ。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。

MicrosoftがAzure Cosmos DB for MongoDBにData APIを一般提供開始、HTTPSによる直接アクセスとPower BI連携で開発効率が向上

MicrosoftがAzure Cosmos DB for MongoDBにData APIを...

MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。

MicrosoftがAzure Cosmos DB for MongoDBにData APIを...

MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上とスキル習得を支援

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...

AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...

AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。

【CVE-2025-3874】WordPress Simple PayPal Shopping Cart 5.1.3に深刻な脆弱性、認証バイパスの危険性が明らかに

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPHP Object Injection脆弱性、未認証での攻撃が可能に

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグインと連携時に影響

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証不備の脆弱性、複数バージョンでリスク発生

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。

【CVE-2024-13419】Smart Framework搭載WordPressプラグインに認証後の重大な脆弱性、複数のフレームワークが影響を受ける状態に

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...

WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...

WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。

【CVE-2025-3889】WordPress Simple Shopping Cart 5.1.3以前に脆弱性、数量操作による価格改ざんの危険性が判明

【CVE-2025-3889】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に脆弱性が存在することを公開した。Manual Checkoutモード使用時に未認証のユーザーが商品数量を負の値に操作可能で、注文合計額を不正に減額できる問題が発覚。CVSSスコア5.3のMEDIUMレベルと評価され、PayPalやStripe決済では影響を受けないものの、早急な対応が推奨されている。

【CVE-2025-3889】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に脆弱性が存在することを公開した。Manual Checkoutモード使用時に未認証のユーザーが商品数量を負の値に操作可能で、注文合計額を不正に減額できる問題が発覚。CVSSスコア5.3のMEDIUMレベルと評価され、PayPalやStripe決済では影響を受けないものの、早急な対応が推奨されている。

【CVE-2025-3890】WordPress Simple Shopping Cart 5.1.3以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2025-3890】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。

【CVE-2025-3890】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。

【CVE-2025-31324】SAP NetWeaver Visual Composerに重大な認証バイパスの脆弱性、システムへの深刻な影響の可能性

【CVE-2025-31324】SAP NetWeaver Visual Composerに重...

SAP SEはSAP NetWeaver Visual Composer開発サーバーに重大な認証バイパスの脆弱性が発見されたことを公表した。この脆弱性により、未認証の攻撃者が悪意のある実行ファイルをアップロード可能となり、システムの機密性や整合性に深刻な影響を及ぼす可能性がある。CVSSスコア10.0の最高危険度で、既に実際の攻撃での悪用が確認されている。

【CVE-2025-31324】SAP NetWeaver Visual Composerに重...

SAP SEはSAP NetWeaver Visual Composer開発サーバーに重大な認証バイパスの脆弱性が発見されたことを公表した。この脆弱性により、未認証の攻撃者が悪意のある実行ファイルをアップロード可能となり、システムの機密性や整合性に深刻な影響を及ぼす可能性がある。CVSSスコア10.0の最高危険度で、既に実際の攻撃での悪用が確認されている。

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が発見、認証済みユーザーによる攻撃のリスクに警戒

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...

WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...

WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。

【CVE-2025-34028】Commvault Command Center Innovation Release 11.38に認証バイパスの深刻な脆弱性、リモートコード実行が可能に

【CVE-2025-34028】Commvault Command Center Innova...

Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。

【CVE-2025-34028】Commvault Command Center Innova...

Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻なXSS脆弱性、早急な対応が必要に

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...

WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...

WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイトスクリプティングの脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイ...

WordfenceはWordPress用プラグインBuddyBoss Platformのバージョン2.8.50以前に存在するクロスサイトスクリプティングの脆弱性をCVE-2024-13859として公開した。bp_nouveau_ajax_media_save関数における入力サニタイズと出力エスケープの不備により、Subscriberレベル以上の権限を持つユーザーが悪意のあるスクリプトを実行可能な状態となっている。CVSSスコアは6.4で中程度の深刻度と評価されている。

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイ...

WordfenceはWordPress用プラグインBuddyBoss Platformのバージョン2.8.50以前に存在するクロスサイトスクリプティングの脆弱性をCVE-2024-13859として公開した。bp_nouveau_ajax_media_save関数における入力サニタイズと出力エスケープの不備により、Subscriberレベル以上の権限を持つユーザーが悪意のあるスクリプトを実行可能な状態となっている。CVSSスコアは6.4で中程度の深刻度と評価されている。