Tech Insights

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前に認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスク

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0352】Rapid Response MonitoringのMy Security Account Appに認証バイパスの脆弱性、他ユーザー情報へのアクセスが可能に

【CVE-2025-0352】Rapid Response MonitoringのMy Sec...

ICS-CERTは2025年2月20日、Rapid Response MonitoringのMy Security Account AppのAPIに認証バイパスの脆弱性が存在することを発表した。CVE-2025-0352として識別されたこの脆弱性は、ユーザー制御キーを介した認証バイパスとして分類され、CVSS 3.1で7.5のHighスコアを記録。2024年7月29日以前のバージョンが影響を受け、攻撃者によるリクエストデータの改変で他ユーザーの情報にアクセスできる可能性がある。

【CVE-2025-0352】Rapid Response MonitoringのMy Sec...

ICS-CERTは2025年2月20日、Rapid Response MonitoringのMy Security Account AppのAPIに認証バイパスの脆弱性が存在することを発表した。CVE-2025-0352として識別されたこの脆弱性は、ユーザー制御キーを介した認証バイパスとして分類され、CVSS 3.1で7.5のHighスコアを記録。2024年7月29日以前のバージョンが影響を受け、攻撃者によるリクエストデータの改変で他ユーザーの情報にアクセスできる可能性がある。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファイル読み取りの脆弱性、管理インターフェースのセキュリティに影響

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、教育プラットフォームのセキュリティ強化が急務に

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13850】WordPressプラグインSimple add pages or postsにXSS脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグインに深刻な脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパスの脆弱性、予約情報の改ざんリスクが浮上

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパ...

WordPressプラグイン「WP Booking Calendar」のバージョン10.10以前に、予約情報の変更時に再認証が適切に要求されない脆弱性が発見された。未認証の攻撃者が承認済みの予約を操作可能となる深刻な問題で、CVSSスコアは5.3(Medium)と評価されている。脆弱性はCWE-285に分類され、Wordfenceが2025年2月12日に情報を公開した。

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパ...

WordPressプラグイン「WP Booking Calendar」のバージョン10.10以前に、予約情報の変更時に再認証が適切に要求されない脆弱性が発見された。未認証の攻撃者が承認済みの予約を操作可能となる深刻な問題で、CVSSスコアは5.3(Medium)と評価されている。脆弱性はCWE-285に分類され、Wordfenceが2025年2月12日に情報を公開した。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の脆弱性、サービス拒否攻撃のリスクで早急な対応が必要

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデータへの不正アクセスが可能に

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Subscriber権限で任意のリクエストが可能に

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Sub...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.2以前に、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが、pm_upload_image関数を悪用することで任意のURLへのリクエストが可能となり、画像のダウンロードや非画像ファイルの存在確認が実行可能な状態。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Sub...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.2以前に、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが、pm_upload_image関数を悪用することで任意のURLへのリクエストが可能となり、画像のダウンロードや非画像ファイルの存在確認が実行可能な状態。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishlistに深刻なCSRF脆弱性が発見、ウィッシュリストの不正操作が可能に

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの脆弱性、管理者の操作を悪用した攻撃のリスク

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な脆弱性、任意のファイル読み取りが可能に

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆弱性、認証なしでファイルアクセスが可能に

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが浮上

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13555】1 Click WordPress Migration Plugin 2.1に深刻な脆弱性、バックアップ機能への攻撃が可能に

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻撃者による投稿順序操作の危険性

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏洩のリスクが発生

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回避の脆弱性、未認証での情報改ざんが可能に

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL Injection脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースからの情報漏洩のリスクが発生

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13353】WordPress用Responsive Addons for Elementorに重大な脆弱性、任意のファイル実行が可能に

【CVE-2024-13353】WordPress用Responsive Addons for...

WordPressプラグイン「Responsive Addons for Elementor」のバージョン1.6.4以前に重大な脆弱性が発見された。CVE-2024-13353として識別されるこの脆弱性は、コントリビューターレベル以上の権限を持つ攻撃者が任意のファイルを実行可能となる危険性がある。CVSSスコア8.8のHighレベルと評価され、早急な対策が必要とされている。

【CVE-2024-13353】WordPress用Responsive Addons for...

WordPressプラグイン「Responsive Addons for Elementor」のバージョン1.6.4以前に重大な脆弱性が発見された。CVE-2024-13353として識別されるこの脆弱性は、コントリビューターレベル以上の権限を持つ攻撃者が任意のファイルを実行可能となる危険性がある。CVSSスコア8.8のHighレベルと評価され、早急な対策が必要とされている。

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効率化を促進

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効...

インテルは2025年2月25日、Performance-cores採用の新型Xeon 6プロセッサーを発表した。データセンターワークロード全般で業界最高水準のパフォーマンスを提供し、AI処理では最大2倍の性能向上を実現。また、ネットワーク向け製品ではvRANブーストにより前世代比で最大2.4倍のRAN容量拡大を達成。高い電力効率により5年前のサーバーと比較して平均5分の1のシステム集約が可能となった。

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効...

インテルは2025年2月25日、Performance-cores採用の新型Xeon 6プロセッサーを発表した。データセンターワークロード全般で業界最高水準のパフォーマンスを提供し、AI処理では最大2倍の性能向上を実現。また、ネットワーク向け製品ではvRANブーストにより前世代比で最大2.4倍のRAN容量拡大を達成。高い電力効率により5年前のサーバーと比較して平均5分の1のシステム集約が可能となった。

名古屋商工会議所が実践者向け生成AI活用相談所を開設、地域中小企業のDX推進を無料でサポート

名古屋商工会議所が実践者向け生成AI活用相談所を開設、地域中小企業のDX推進を無料でサポート

名古屋商工会議所はPit-Nagoyaと連携し、2025年3月12日に地域初となる実践者向け生成AI活用相談所「AI PRACTITIONERS' LOUNGE」を開設する。中小企業の経営者や生産性向上責任者を対象に、生成AIの実践的活用に関する無料相談を提供。専門家による個別相談形式で、人材育成や研修プログラムについても相談可能だ。

名古屋商工会議所が実践者向け生成AI活用相談所を開設、地域中小企業のDX推進を無料でサポート

名古屋商工会議所はPit-Nagoyaと連携し、2025年3月12日に地域初となる実践者向け生成AI活用相談所「AI PRACTITIONERS' LOUNGE」を開設する。中小企業の経営者や生産性向上責任者を対象に、生成AIの実践的活用に関する無料相談を提供。専門家による個別相談形式で、人材育成や研修プログラムについても相談可能だ。

JAPAN AIがAIエージェント作成機能を提供開始、ITの専門知識不要で誰でも独自のAIエージェントを構築可能に

JAPAN AIがAIエージェント作成機能を提供開始、ITの専門知識不要で誰でも独自のAIエー...

JAPAN AI株式会社は自律型AIエージェント「JAPAN AI AGENT」において、ユーザーが独自のAIエージェントを作成できる機能の提供を開始した。ワークフロー、役割設定、AIモデル選択、データ連携の4項目の設定のみで、ITの専門知識がなくても業務用AIエージェントを作成できる。企業文化や組織構造に応じたカスタマイズが可能で、真の業務効率化の実現を目指している。

JAPAN AIがAIエージェント作成機能を提供開始、ITの専門知識不要で誰でも独自のAIエー...

JAPAN AI株式会社は自律型AIエージェント「JAPAN AI AGENT」において、ユーザーが独自のAIエージェントを作成できる機能の提供を開始した。ワークフロー、役割設定、AIモデル選択、データ連携の4項目の設定のみで、ITの専門知識がなくても業務用AIエージェントを作成できる。企業文化や組織構造に応じたカスタマイズが可能で、真の業務効率化の実現を目指している。