Tech Insights

【CVE-2024-13851】WordPressプラグインModal Portfolio 1.7.4.2に格納型XSSの脆弱性、管理者権限での攻撃に注意

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージョンにCSRF脆弱性、APIキーの不正更新の危険性

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1511】WordPressプラグインUser Registration 4.0.4に深刻な脆弱性、クロスサイトスクリプティング攻撃が可能に

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しないコンテンツ表示の危険性が明らかに

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

GMOインターネットのConoHa AI CanvasにComfyUIが登場、国内クラウド事業者初の画像生成機能強化へ

GMOインターネットのConoHa AI CanvasにComfyUIが登場、国内クラウド事業...

GMOインターネット株式会社が提供するAI画像生成サービス「ConoHa AI Canvas」に、新たなWeb UI「ComfyUI」が追加される。2025年3月13日から提供開始となるこの機能は、国内クラウド事業者として初めての提供となる。画像生成に必要な機能を視覚的に配置・組み合わせることで、より自由度の高い画像生成が可能になる。また、月額1,100円からの新料金プランも導入され、より手軽にサービスを利用できるようになった。

GMOインターネットのConoHa AI CanvasにComfyUIが登場、国内クラウド事業...

GMOインターネット株式会社が提供するAI画像生成サービス「ConoHa AI Canvas」に、新たなWeb UI「ComfyUI」が追加される。2025年3月13日から提供開始となるこの機能は、国内クラウド事業者として初めての提供となる。画像生成に必要な機能を視覚的に配置・組み合わせることで、より自由度の高い画像生成が可能になる。また、月額1,100円からの新料金プランも導入され、より手軽にサービスを利用できるようになった。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆弱性、未認証攻撃者によるスクリプト実行の危険性

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-1571】Exclusive Addons for Elementorに重大な脆弱性、認証済みユーザーによる攻撃の可能性が浮上

【CVE-2025-1571】Exclusive Addons for Elementorに重...

WordPressプラグインのExclusive Addons for Elementorにおいて、バージョン2.7.6以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。アニメーションテキストと画像比較ウィジェットに影響し、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4で評価され、早急な対応が必要とされている。

【CVE-2025-1571】Exclusive Addons for Elementorに重...

WordPressプラグインのExclusive Addons for Elementorにおいて、バージョン2.7.6以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。アニメーションテキストと画像比較ウィジェットに影響し、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4で評価され、早急な対応が必要とされている。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

アライドテレシスがCentreCOM GS950 V2シリーズの新モデルを発売、ファンレス設計で静音性と高速接続を実現

アライドテレシスがCentreCOM GS950 V2シリーズの新モデルを発売、ファンレス設計...

アライドテレシス株式会社は2025年3月7日、レイヤ2スマートスイッチ新シリーズ「CentreCOM GS950 V2シリーズ」の新モデル「AT-GS950/10 V2」の販売を開始した。10/100/1000BASE-Tポート8基とSFPスロット2基を搭載し、VLANやQoS機能に対応。ファンレス設計による静音性を実現し、標準価格43,200円(税込47,520円)で提供する。

アライドテレシスがCentreCOM GS950 V2シリーズの新モデルを発売、ファンレス設計...

アライドテレシス株式会社は2025年3月7日、レイヤ2スマートスイッチ新シリーズ「CentreCOM GS950 V2シリーズ」の新モデル「AT-GS950/10 V2」の販売を開始した。10/100/1000BASE-Tポート8基とSFPスロット2基を搭載し、VLANやQoS機能に対応。ファンレス設計による静音性を実現し、標準価格43,200円(税込47,520円)で提供する。

GMOインターネットがConoHa AI CanvasでComfyUIの提供を開始、国内クラウド事業者として初の導入でAI画像生成の利便性が向上

GMOインターネットがConoHa AI CanvasでComfyUIの提供を開始、国内クラウ...

GMOインターネット株式会社が提供するAI画像生成サービス「ConoHa AI Canvas」において、新たなWebUIとしてComfyUIの提供を2025年3月13日より開始する。国内クラウド事業者として初となるComfyUI提供により、画像生成機能の視覚的な配置と組み合わせが可能となり、より自由度の高いAI画像生成が実現する。また、料金プラン改定により月額1,100円から利用可能となった。

GMOインターネットがConoHa AI CanvasでComfyUIの提供を開始、国内クラウ...

GMOインターネット株式会社が提供するAI画像生成サービス「ConoHa AI Canvas」において、新たなWebUIとしてComfyUIの提供を2025年3月13日より開始する。国内クラウド事業者として初となるComfyUI提供により、画像生成機能の視覚的な配置と組み合わせが可能となり、より自由度の高いAI画像生成が実現する。また、料金プラン改定により月額1,100円から利用可能となった。

カナリークラウドがLIFULL住まいんど診断と連携開始、不動産仲介業務の効率化と顧客満足度向上を実現

カナリークラウドがLIFULL住まいんど診断と連携開始、不動産仲介業務の効率化と顧客満足度向上を実現

株式会社カナリーは2025年3月、不動産業務特化型SaaS「カナリークラウド」においてLIFULLの性格診断ツール「LIFULL住まいんど診断」との連携を開始した。診断結果をカナリークラウドの顧客情報に連携することで顧客情報管理の効率化を実現。店舗別・担当者別の診断回答取得率分析や性格タイプごとの成約率分析など、詳細な顧客分析が可能になっている。

カナリークラウドがLIFULL住まいんど診断と連携開始、不動産仲介業務の効率化と顧客満足度向上を実現

株式会社カナリーは2025年3月、不動産業務特化型SaaS「カナリークラウド」においてLIFULLの性格診断ツール「LIFULL住まいんど診断」との連携を開始した。診断結果をカナリークラウドの顧客情報に連携することで顧客情報管理の効率化を実現。店舗別・担当者別の診断回答取得率分析や性格タイプごとの成約率分析など、詳細な顧客分析が可能になっている。

コムデザインがクラウドCTI「CT-e1/SaaS」でWebRTC対応アプリケーションの提供を開始、コンタクトセンターの業務環境構築が容易に

コムデザインがクラウドCTI「CT-e1/SaaS」でWebRTC対応アプリケーションの提供を...

コムデザインは、コンタクトセンター向けクラウド型CTI「CT-e1/SaaS」において、WebRTC技術を活用した新しいWebアプリケーションの提供を開始した。専用アプリケーションのインストールが不要となり、導入の容易化と迅速なサービス開始を実現。累計1,745テナント31,000席以上の導入実績を持つCT-e1/SaaSは、テキストマイニングや会話解析などのコールセンターDXにも対応している。

コムデザインがクラウドCTI「CT-e1/SaaS」でWebRTC対応アプリケーションの提供を...

コムデザインは、コンタクトセンター向けクラウド型CTI「CT-e1/SaaS」において、WebRTC技術を活用した新しいWebアプリケーションの提供を開始した。専用アプリケーションのインストールが不要となり、導入の容易化と迅速なサービス開始を実現。累計1,745テナント31,000席以上の導入実績を持つCT-e1/SaaSは、テキストマイニングや会話解析などのコールセンターDXにも対応している。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ機能バイパスの脆弱性、深刻度は中程度と評価

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョンに深刻なXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13522】magayo Lottery Results 2.0.12にCSRF脆弱性、管理者権限での不正実行の危険性

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮き彫りに

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃のリスクで対策が急務に

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱性、リモートからの攻撃に注意

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆弱性、バージョン3.7.1で修正完了

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2024-13682】Wallet System for WooCommerceに深刻な脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

【CVE-2024-13682】Wallet System for WooCommerceに深...

WordPressプラグインのWallet System for WooCommerceにおいて、バージョン2.6.2以前の全バージョンでクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることでウォレット残高を不正に改ざんすることが可能となる。CVSS評価は4.3(中程度)とされているが、ECサイトの決済機能に関わる重要な問題として注目されている。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

GoogleがChrome 134の安定版アップデートを公開、V8エンジンの重大な脆弱性に対処

GoogleはChrome 134の安定版アップデートを公開し、Windows、Mac、Linux向けに新バージョンを展開。V8エンジンのOut of bounds読み取りなど14件のセキュリティ脆弱性を修正。最も深刻な脆弱性の発見者には7000ドルの報奨金を支払い、DevToolsやプロファイル機能など様々なコンポーネントの改善も実施された。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機密情報漏洩のリスクが浮上

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

【CVE-2025-23411】mySCADA myPRO ManagerにCSRF脆弱性、機...

CISAがmySCADA myPRO Managerにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することを公表した。CVE-2025-23411として識別されるこの脆弱性は、CVSS v3.1で6.3のミディアムスコアを記録。攻撃者は悪意のあるウェブサイトに被害者を誘導することで機密情報を取得できる可能性がある。影響を受けるバージョンは1.4未満で、早急なアップデートが推奨される。

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Contributor権限で悪用の可能性

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...

WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。

WordPressプラグインFront End Users 3.2.30にXSS脆弱性、Con...

WordPressプラグイン「Front End Users」のバージョン3.2.30以前に、クロスサイトスクリプティングの脆弱性が発見された。forgot-passwordショートコードの入力値処理の不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした他のユーザーの環境でスクリプトが実行される危険性がある。

Koi Fish Labsがエンジニア向けAIツールKurogoをフルリニューアル、コード検索と情報収集機能を強化し業務効率が向上

Koi Fish Labsがエンジニア向けAIツールKurogoをフルリニューアル、コード検索...

Koi Fish Labsは、ソフトウェアエンジニアの業務効率化を支援するツール「Kurogo」をフルリニューアルした。AIを活用したCode Search機能とNews Feed機能を新たに搭載し、開発スピードを劇的に向上。タブ機能やブックマーク機能を備え、複数コードの同時調査や最新技術トレンドの自動収集が可能になり、エンジニアの創造的業務への集中を実現する。

Koi Fish Labsがエンジニア向けAIツールKurogoをフルリニューアル、コード検索...

Koi Fish Labsは、ソフトウェアエンジニアの業務効率化を支援するツール「Kurogo」をフルリニューアルした。AIを活用したCode Search機能とNews Feed機能を新たに搭載し、開発スピードを劇的に向上。タブ機能やブックマーク機能を備え、複数コードの同時調査や最新技術トレンドの自動収集が可能になり、エンジニアの創造的業務への集中を実現する。