Tech Insights

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPressプラグインのセキュリティリスクが深刻化

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッションハイジャックのリスクが深刻化

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッション...

Gridware Cybersecurityが2025年2月19日、ChurchCRM 5.13.0においてリフレクテッドクロスサイトスクリプティング脆弱性を発見したと報告。EditEventAttendees.phpのEIDパラメータに影響し、管理者権限を持つ攻撃者が任意のJavaScriptコードを実行可能。CVSSスコア8.4と高い深刻度で、セッションクッキーの窃取やなりすまし攻撃のリスクが指摘されている。

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッション...

Gridware Cybersecurityが2025年2月19日、ChurchCRM 5.13.0においてリフレクテッドクロスサイトスクリプティング脆弱性を発見したと報告。EditEventAttendees.phpのEIDパラメータに影響し、管理者権限を持つ攻撃者が任意のJavaScriptコードを実行可能。CVSSスコア8.4と高い深刻度で、セッションクッキーの窃取やなりすまし攻撃のリスクが指摘されている。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグインに深刻な脆弱性、認証済みユーザーによる任意のスクリプト実行が可能に

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1208】code-projects Wazifa System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティング脆弱性、早急な対応が必要に

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、教育プラットフォームのセキュリティ強化が急務に

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-13850】WordPressプラグインSimple add pages or postsにXSS脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグインに深刻な脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishlistに深刻なCSRF脆弱性が発見、ウィッシュリストの不正操作が可能に

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの脆弱性、管理者の操作を悪用した攻撃のリスク

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な...

WordPressプラグイン「Simplebooklet PDF Viewer and Embedder」のバージョン1.1.0以前に、重大なクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13588として識別されるこの問題は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、早急な対応が必要とされている。CVSSスコアは6.4(MEDIUM)と評価され、不適切な入力処理が原因とされている。

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な...

WordPressプラグイン「Simplebooklet PDF Viewer and Embedder」のバージョン1.1.0以前に、重大なクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13588として識別されるこの問題は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、早急な対応が必要とされている。CVSSスコアは6.4(MEDIUM)と評価され、不適切な入力処理が原因とされている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが浮上

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、Contributor以上の権限で攻撃可能に

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13573】WordPressプラグインZigaform Form Builder Liteに深刻な脆弱性、早急な対応が必要

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13555】1 Click WordPress Migration Plugin 2.1に深刻な脆弱性、バックアップ機能への攻撃が可能に

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13445】Elementor Website Builder 3.27.4にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13155】Unlimited Elements For Elementor 1.5.140以前に脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

【CVE-2024-13227】Rank Math SEOプラグインにXSS脆弱性、Contributor権限で攻撃可能な状態に

【CVE-2024-13227】Rank Math SEOプラグインにXSS脆弱性、Contr...

WordPressプラグイン「Rank Math SEO」のバージョン1.0.235以前に、格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(Medium)と評価されている。この脆弱性はRank Math APIの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が求められる。

【CVE-2024-13227】Rank Math SEOプラグインにXSS脆弱性、Contr...

WordPressプラグイン「Rank Math SEO」のバージョン1.0.235以前に、格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(Medium)と評価されている。この脆弱性はRank Math APIの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が求められる。

【CVE-2024-13155】Unlimited Elements For Elementor 1.5.140以前に脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

.NET Aspire 9.1が6つの新ダッシュボード機能を実装、開発者の生産性向上とリソース管理の効率化を実現

.NET Aspire 9.1が6つの新ダッシュボード機能を実装、開発者の生産性向上とリソース...

Microsoftが.NET Aspire 9.1をリリースし、ダッシュボードに6つの新機能を追加。リソースの親子関係可視化、言語設定の独立化、フィルタリング機能、詳細情報の拡充、CORSサポート、コンソールログの柔軟な管理機能が実装された。開発者の生産性向上とリソース管理の効率化を実現し、マイクロサービスアーキテクチャの管理をより直感的に行えるようになった。

.NET Aspire 9.1が6つの新ダッシュボード機能を実装、開発者の生産性向上とリソース...

Microsoftが.NET Aspire 9.1をリリースし、ダッシュボードに6つの新機能を追加。リソースの親子関係可視化、言語設定の独立化、フィルタリング機能、詳細情報の拡充、CORSサポート、コンソールログの柔軟な管理機能が実装された。開発者の生産性向上とリソース管理の効率化を実現し、マイクロサービスアーキテクチャの管理をより直感的に行えるようになった。

CisdemがData Recovery 17.2.0をリリース、ブラウザブックマークの復元機能が大幅に向上し作業効率化を実現

CisdemがData Recovery 17.2.0をリリース、ブラウザブックマークの復元機...

ソフト開発会社Cisdemは2025年2月25日、Mac版データ復元ソフトCisdem Data Recovery 17.2.0をリリースした。スキャン技術の最適化により復元速度が向上し、ChromeやSafari、Firefoxなどの主要ブラウザから消失したブックマークを効率的に復元できる機能が追加された。200種類以上のファイル形式に対応し、iCloudやSDカードなど様々なデバイスからのデータ復元が可能だ。

CisdemがData Recovery 17.2.0をリリース、ブラウザブックマークの復元機...

ソフト開発会社Cisdemは2025年2月25日、Mac版データ復元ソフトCisdem Data Recovery 17.2.0をリリースした。スキャン技術の最適化により復元速度が向上し、ChromeやSafari、Firefoxなどの主要ブラウザから消失したブックマークを効率的に復元できる機能が追加された。200種類以上のファイル形式に対応し、iCloudやSDカードなど様々なデバイスからのデータ復元が可能だ。

NECが生成AI「cotomi」搭載のNetMeister Prime Plusを発表、ネットワーク運用の自動化と効率化を実現

NECが生成AI「cotomi」搭載のNetMeister Prime Plusを発表、ネット...

NECは2025年2月25日、クラウド型ネットワーク統合管理サービス「NetMeister Prime」に生成AI「cotomi」を統合した新サービス「NetMeister Prime Plus」の提供を開始する。無線LANネットワーク機器のトラブルシューティングをAIが支援し、運用効率の向上と人材不足の解消を実現。2027年度までにサービス範囲を段階的に拡大する計画だ。

NECが生成AI「cotomi」搭載のNetMeister Prime Plusを発表、ネット...

NECは2025年2月25日、クラウド型ネットワーク統合管理サービス「NetMeister Prime」に生成AI「cotomi」を統合した新サービス「NetMeister Prime Plus」の提供を開始する。無線LANネットワーク機器のトラブルシューティングをAIが支援し、運用効率の向上と人材不足の解消を実現。2027年度までにサービス範囲を段階的に拡大する計画だ。

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱性、管理者権限への攻撃に悪用の可能性

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱...

WordPressプラグインのZarinpal Paid Downloadにおいて、バージョン2.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1(中)と評価されており、管理者などの高権限ユーザーに対する攻撃に悪用される可能性がある。パラメーターのサニタイズとエスケープ処理が適切に行われていないことが原因となっている。

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱...

WordPressプラグインのZarinpal Paid Downloadにおいて、バージョン2.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1(中)と評価されており、管理者などの高権限ユーザーに対する攻撃に悪用される可能性がある。パラメーターのサニタイズとエスケープ処理が適切に行われていないことが原因となっている。