Tech Insights

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急な対応が必要に

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急...

MicrosoftはWindows Security Account Manager(SAM)におけるサービス拒否の脆弱性【CVE-2025-21313】を公開した。Windows Server 2025、Windows Server 2022(23H2)、Windows 11 Version 24H2が影響を受け、認証されたローカルユーザーによる攻撃が可能。CVSSスコアは6.5(中程度)で、既に修正プログラムが提供されている。早急なアップデートの適用が推奨される。

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急...

MicrosoftはWindows Security Account Manager(SAM)におけるサービス拒否の脆弱性【CVE-2025-21313】を公開した。Windows Server 2025、Windows Server 2022(23H2)、Windows 11 Version 24H2が影響を受け、認証されたローカルユーザーによる攻撃が可能。CVSSスコアは6.5(中程度)で、既に修正プログラムが提供されている。早急なアップデートの適用が推奨される。

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱性、アプリケーション異常終了のリスクに対処

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOSでアップデート対応開始

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

インテックとクオンティニュアムが耐量子コンピューター暗号証明書の発行機能を実装、2025年2月から提供開始へ

インテックとクオンティニュアムが耐量子コンピューター暗号証明書の発行機能を実装、2025年2月...

インテックとクオンティニュアムは、端末認証用クライアント証明書発行サービスに耐量子コンピューター暗号証明書の発行機能を実装し2025年2月から提供を開始する。クオンティニュアムの量子技術暗号プラットフォーム「Quantum Origin」を導入し、NISTが標準化を進めるPQCに対応。金融、医療、製造、行政分野での活用を想定している。

インテックとクオンティニュアムが耐量子コンピューター暗号証明書の発行機能を実装、2025年2月...

インテックとクオンティニュアムは、端末認証用クライアント証明書発行サービスに耐量子コンピューター暗号証明書の発行機能を実装し2025年2月から提供を開始する。クオンティニュアムの量子技術暗号プラットフォーム「Quantum Origin」を導入し、NISTが標準化を進めるPQCに対応。金融、医療、製造、行政分野での活用を想定している。

GMOグローバルサインのマイナンバーカード本人確認サービスがタニタ健康プログラムに採用、自治体向けヘルスケアサービスの効率化を実現

GMOグローバルサインのマイナンバーカード本人確認サービスがタニタ健康プログラムに採用、自治体...

GMOグローバルサイン株式会社のマイナンバーカード制度対応GMOオンライン本人確認サービスが、タニタヘルスリンクの自治体向け健康事業支援サービス「タニタ健康プログラム」に採用された。2025年2月7日より利用開始となり、マイナンバーカードを使用した健康事業への参加登録時の本人確認を自動化することで、自治体の健康事業における運営効率化を実現する。

GMOグローバルサインのマイナンバーカード本人確認サービスがタニタ健康プログラムに採用、自治体...

GMOグローバルサイン株式会社のマイナンバーカード制度対応GMOオンライン本人確認サービスが、タニタヘルスリンクの自治体向け健康事業支援サービス「タニタ健康プログラム」に採用された。2025年2月7日より利用開始となり、マイナンバーカードを使用した健康事業への参加登録時の本人確認を自動化することで、自治体の健康事業における運営効率化を実現する。

YoomがSeciossLinkとAPI連携を開始、ハイパーオートメーションによる業務効率化とセキュリティ強化を実現

YoomがSeciossLinkとAPI連携を開始、ハイパーオートメーションによる業務効率化と...

Yoom株式会社はセキュリティプラットフォーム「SeciossLink」とのAPI連携を2025年2月6日に開始した。300種以上のサービスと連携可能なYoomのハイパーオートメーション技術により、人事システムからSeciossLinkへの自動連携や管理者への通知機能を実現。入社手続きの効率化とセキュリティ管理の強化が期待される。

YoomがSeciossLinkとAPI連携を開始、ハイパーオートメーションによる業務効率化と...

Yoom株式会社はセキュリティプラットフォーム「SeciossLink」とのAPI連携を2025年2月6日に開始した。300種以上のサービスと連携可能なYoomのハイパーオートメーション技術により、人事システムからSeciossLinkへの自動連携や管理者への通知機能を実現。入社手続きの効率化とセキュリティ管理の強化が期待される。

タニタヘルスリンクがマイナンバーカードによる本人確認サービスを導入、自治体の健康事業における業務効率が向上へ

タニタヘルスリンクがマイナンバーカードによる本人確認サービスを導入、自治体の健康事業における業...

株式会社タニタヘルスリンクは、GMOグローバルサイン株式会社の「GMOオンライン本人確認サービス」を採用し、2025年2月7日より提供開始する。このサービスにより、自治体の健康事業における参加者の本人確認や要件確認が自動化され、業務効率の向上が見込まれる。全国170件以上の導入実績を持つタニタ健康プログラムは、約30万人の健康づくりをサポートしており、今回の機能追加でさらなる発展が期待される。

タニタヘルスリンクがマイナンバーカードによる本人確認サービスを導入、自治体の健康事業における業...

株式会社タニタヘルスリンクは、GMOグローバルサイン株式会社の「GMOオンライン本人確認サービス」を採用し、2025年2月7日より提供開始する。このサービスにより、自治体の健康事業における参加者の本人確認や要件確認が自動化され、業務効率の向上が見込まれる。全国170件以上の導入実績を持つタニタ健康プログラムは、約30万人の健康づくりをサポートしており、今回の機能追加でさらなる発展が期待される。

CloudflareがContent Credentials機能を発表、画像コンテンツの信頼性確保に向けデジタル履歴の保存と検証が可能に

CloudflareがContent Credentials機能を発表、画像コンテンツの信頼性...

Cloudflareは2025年2月6日、画像のデジタル履歴をワンクリックで保存できる新機能「Content Credentials」を発表した。C2PA基準に基づく本機能により、制作者はコンテンツにクレジット情報を付与し、消費者は出自や変更履歴を確認できるようになる。Cloudflare ImagesにContent Credentialsを実装することで、画像の信頼性確保とコンテンツ保護の強化を実現する。

CloudflareがContent Credentials機能を発表、画像コンテンツの信頼性...

Cloudflareは2025年2月6日、画像のデジタル履歴をワンクリックで保存できる新機能「Content Credentials」を発表した。C2PA基準に基づく本機能により、制作者はコンテンツにクレジット情報を付与し、消費者は出自や変更履歴を確認できるようになる。Cloudflare ImagesにContent Credentialsを実装することで、画像の信頼性確保とコンテンツ保護の強化を実現する。

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

株式会社invoxが開発・運営する「invox経費精算」は、スマートフォンでの領収書アップロードおよび承認機能を追加した。iOSとAndroidのモバイル端末に対応し、外出先や作業現場などPCが使えない環境下でも経費精算業務が可能になった。従来のメール添付方式の課題を解決し、申請漏れの防止と承認プロセスの効率化を実現している。

invox経費精算がスマートフォン対応機能を追加、外出先での経費精算業務の効率化を実現

株式会社invoxが開発・運営する「invox経費精算」は、スマートフォンでの領収書アップロードおよび承認機能を追加した。iOSとAndroidのモバイル端末に対応し、外出先や作業現場などPCが使えない環境下でも経費精算業務が可能になった。従来のメール添付方式の課題を解決し、申請漏れの防止と承認プロセスの効率化を実現している。

アルティウスリンクがIoTガス見守りサービスにボイスボットを導入、24時間365日の安全管理体制を実現へ

アルティウスリンクがIoTガス見守りサービスにボイスボットを導入、24時間365日の安全管理体...

アルティウスリンク株式会社は、大手ガス事業者向けIoTガス見守りサービスのコンタクトセンター業務にボイスボットを導入した。ガスメーターをIoT機器として活用し、異常検知時の通知や遠隔ガス遮断が可能なシステムを構築。VoC分析に基づくシナリオ設計により高品質な自動応対を実現し、より安全で快適な社会の実現を目指す。

アルティウスリンクがIoTガス見守りサービスにボイスボットを導入、24時間365日の安全管理体...

アルティウスリンク株式会社は、大手ガス事業者向けIoTガス見守りサービスのコンタクトセンター業務にボイスボットを導入した。ガスメーターをIoT機器として活用し、異常検知時の通知や遠隔ガス遮断が可能なシステムを構築。VoC分析に基づくシナリオ設計により高品質な自動応対を実現し、より安全で快適な社会の実現を目指す。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtimeAPI機能を追加、リアルタイム対話システムの実装が容易に

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクションの脆弱性、未認証での攻撃が可能に

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報アクセスが可能に

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サンドボックス制限を強化

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証済みユーザーによるSQLインジェクションの脆弱性が発見、データベースからの機密情報抽出のリスクに

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13758】CP Contact Form with PayPalでCSRF脆弱性を確認、管理者権限での不正操作が可能に

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なSQLインジェクション脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0846】Employee Task Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

キヤノンITSがADECの暗号化消去システム認証制度策定に協力、クラウドデータの安全な消去を実現へ

キヤノンITSがADECの暗号化消去システム認証制度策定に協力、クラウドデータの安全な消去を実現へ

キヤノンITソリューションズは、データ適正消去実行証明協議会が2025年2月4日から開始する暗号化消去システム認証 for Cloud制度の策定に協力。暗号化消去技術によるクラウドデータの完全消去を第三者評価する制度を確立し、自治体やサービスプロバイダーのセキュアなデータ管理を支援する。CipherTrust Data Security Platformの提供を通じた暗号化消去の普及活動も展開。

キヤノンITSがADECの暗号化消去システム認証制度策定に協力、クラウドデータの安全な消去を実現へ

キヤノンITソリューションズは、データ適正消去実行証明協議会が2025年2月4日から開始する暗号化消去システム認証 for Cloud制度の策定に協力。暗号化消去技術によるクラウドデータの完全消去を第三者評価する制度を確立し、自治体やサービスプロバイダーのセキュアなデータ管理を支援する。CipherTrust Data Security Platformの提供を通じた暗号化消去の普及活動も展開。

GMOグローバルサインがIDaaSとhakaru.ai byGMOの連携を開始、製造現場の設備点検データをより安全に管理可能に

GMOグローバルサインがIDaaSとhakaru.ai byGMOの連携を開始、製造現場の設備...

GMOグローバルサイン株式会社は企業向けシングルサインオンサービス「GMOトラスト・ログイン」とメーター検針の業務改善サービス「hakaru.ai byGMO」のSAML認証連携を2025年2月4日より開始した。この連携により、製造現場の設備点検データを不正アクセスから保護し、ID/パスワード管理の負担軽減と業務効率化を実現。設備管理現場におけるDX推進の第一歩として期待される。

GMOグローバルサインがIDaaSとhakaru.ai byGMOの連携を開始、製造現場の設備...

GMOグローバルサイン株式会社は企業向けシングルサインオンサービス「GMOトラスト・ログイン」とメーター検針の業務改善サービス「hakaru.ai byGMO」のSAML認証連携を2025年2月4日より開始した。この連携により、製造現場の設備点検データを不正アクセスから保護し、ID/パスワード管理の負担軽減と業務効率化を実現。設備管理現場におけるDX推進の第一歩として期待される。