Tech Insights

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管理が可能に

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管...

ソラコムのクラウド型カメラサービス「ソラカメ」が、ウェザーニューズの法人向け気象情報サービス「ウェザーニュース for business」に採用された。気象IoTセンサー「ソラテナPro」との併用により、拠点ごとの気象データと映像情報の一元管理が可能になり、異常気象発生時の迅速な対応や気象状況を考慮したビジネスの効率化を実現する。

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管...

ソラコムのクラウド型カメラサービス「ソラカメ」が、ウェザーニューズの法人向け気象情報サービス「ウェザーニュース for business」に採用された。気象IoTセンサー「ソラテナPro」との併用により、拠点ごとの気象データと映像情報の一元管理が可能になり、異常気象発生時の迅速な対応や気象状況を考慮したビジネスの効率化を実現する。

GROUNDのGWESが花王の物流DX推進に貢献、作業進捗の可視化で管理者の意思決定を支援

GROUNDのGWESが花王の物流DX推進に貢献、作業進捗の可視化で管理者の意思決定を支援

GROUND株式会社は物流施設統合管理・最適化システム「GWES」を花王のロジスティクスセンターに導入。2024年6月に八王子LCで稼働を開始し、同年12月までに家庭品LC全26拠点への展開を完了。作業進捗のリアルタイム可視化により、現場管理者の意思決定を支援し、労働時間削減や人件費低減、管理業務の標準化による属人化の解消を実現している。2025年末までに全44拠点での稼働を目指す。

GROUNDのGWESが花王の物流DX推進に貢献、作業進捗の可視化で管理者の意思決定を支援

GROUND株式会社は物流施設統合管理・最適化システム「GWES」を花王のロジスティクスセンターに導入。2024年6月に八王子LCで稼働を開始し、同年12月までに家庭品LC全26拠点への展開を完了。作業進捗のリアルタイム可視化により、現場管理者の意思決定を支援し、労働時間削減や人件費低減、管理業務の標準化による属人化の解消を実現している。2025年末までに全44拠点での稼働を目指す。

MIXIがPointsBetを352億円で買収、オーストラリアのスポーツベッティング市場に本格参入

MIXIがPointsBetを352億円で買収、オーストラリアのスポーツベッティング市場に本格参入

MIXIは2025年2月26日、オーストラリアのスポーツベッティング企業PointsBet Holdingsの買収を発表した。新設子会社MIXI Australia Ptyを通じて352億円で株式を100%取得し完全子会社化を目指す。PointsBetの技術力とMIXIのソーシャル機能を組み合わせ、オーストラリアとカナダでのベッティング事業拡大を図る。買収完了は2025年6月中旬を予定。

MIXIがPointsBetを352億円で買収、オーストラリアのスポーツベッティング市場に本格参入

MIXIは2025年2月26日、オーストラリアのスポーツベッティング企業PointsBet Holdingsの買収を発表した。新設子会社MIXI Australia Ptyを通じて352億円で株式を100%取得し完全子会社化を目指す。PointsBetの技術力とMIXIのソーシャル機能を組み合わせ、オーストラリアとカナダでのベッティング事業拡大を図る。買収完了は2025年6月中旬を予定。

NECが顔情報を保存せずに認証可能な生体情報利用デジタル署名技術を開発、情報漏えいリスクの低減と高精度認証を両立

NECが顔情報を保存せずに認証可能な生体情報利用デジタル署名技術を開発、情報漏えいリスクの低減...

NECは2025年2月26日、顔認証の精度を維持したまま顔情報を保存することなく認証を実現可能な生体情報利用デジタル署名技術を開発した。顔情報から本人の鍵を生成し照合する方式を採用することで情報漏えいのリスクを低減し、独自のアルゴリズムと秘密計算手法により高精度な認証を実現。2025年度中に決済や入退場での実証実験を開始する予定だ。

NECが顔情報を保存せずに認証可能な生体情報利用デジタル署名技術を開発、情報漏えいリスクの低減...

NECは2025年2月26日、顔認証の精度を維持したまま顔情報を保存することなく認証を実現可能な生体情報利用デジタル署名技術を開発した。顔情報から本人の鍵を生成し照合する方式を採用することで情報漏えいのリスクを低減し、独自のアルゴリズムと秘密計算手法により高精度な認証を実現。2025年度中に決済や入退場での実証実験を開始する予定だ。

三菱電機がAIの短時間網羅検証技術を開発、Maisartの新機能で誤動作リスクを低減へ

三菱電機がAIの短時間網羅検証技術を開発、Maisartの新機能で誤動作リスクを低減へ

三菱電機は2025年2月26日、決定木アンサンブルモデルを対象とした「AIの動作を短時間で漏れなく検証する技術」を開発した。同社のAI技術Maisartの開発成果として、新たなアルゴリズムと対話的な検証ツールを実現。AIの誤動作リスクを低減し、特に機器の自律制御システムや電力・社会インフラシステムなどの安全性が重視される分野での活用が期待される。

三菱電機がAIの短時間網羅検証技術を開発、Maisartの新機能で誤動作リスクを低減へ

三菱電機は2025年2月26日、決定木アンサンブルモデルを対象とした「AIの動作を短時間で漏れなく検証する技術」を開発した。同社のAI技術Maisartの開発成果として、新たなアルゴリズムと対話的な検証ツールを実現。AIの誤動作リスクを低減し、特に機器の自律制御システムや電力・社会インフラシステムなどの安全性が重視される分野での活用が期待される。

楽天カードが会員規約を改定、回収事務手数料とカード再発行費用の新規導入でコスト増に対応

楽天カードが会員規約を改定、回収事務手数料とカード再発行費用の新規導入でコスト増に対応

楽天カードは2025年2月26日に会員規約の改定を発表し、支払期日超過時の回収事務手数料として275円、カードの紛失や盗難などによる再発行時に1,100円の費用を請求することを決定した。通信費や郵送費の上昇、カード発行費用の高騰に対応するための施策として、持続可能なサービス提供体制の構築を目指している。

楽天カードが会員規約を改定、回収事務手数料とカード再発行費用の新規導入でコスト増に対応

楽天カードは2025年2月26日に会員規約の改定を発表し、支払期日超過時の回収事務手数料として275円、カードの紛失や盗難などによる再発行時に1,100円の費用を請求することを決定した。通信費や郵送費の上昇、カード発行費用の高騰に対応するための施策として、持続可能なサービス提供体制の構築を目指している。

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート終了対応とライブラリの拡充が進展

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...

MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...

MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftはAzure SQL DatabaseとSQL Database in Microsoft Fabricにおいて、T-SQLの新機能として正規表現サポート、曖昧文字列検索、DATEADDのbigintサポートをプレビュー公開した。REGEXP_LIKEなどの5つの正規表現関数や、EDIT_DISTANCEなどの曖昧検索機能により、より柔軟なデータ操作が可能になる。

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftはAzure SQL DatabaseとSQL Database in Microsoft Fabricにおいて、T-SQLの新機能として正規表現サポート、曖昧文字列検索、DATEADDのbigintサポートをプレビュー公開した。REGEXP_LIKEなどの5つの正規表現関数や、EDIT_DISTANCEなどの曖昧検索機能により、より柔軟なデータ操作が可能になる。

GitHubがWindows Terminal CanaryでCopilot Free対応を開始、AIによるコマンド提案機能で開発効率が向上

GitHubがWindows Terminal CanaryでCopilot Free対応を開...

GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。

GitHubがWindows Terminal CanaryでCopilot Free対応を開...

GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビューを開始、Rustアプリケーションの開発効率が向上へ

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...

MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...

MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。

【CVE-2025-0967】code-projects Chat System 1.0にSQLインジェクションの脆弱性、早急な対応が必要な状況に

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windows全バージョンに影響

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格の脆弱性、未認証攻撃者による管理者権限取得のリスク

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ開示の脆弱性、WordPress管理者は早急な対応が必要に

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ...

WordPressのセキュリティプラグイン「Hide My WP Ghost」において、バージョン5.3.02以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がウェブサイトの隠されたログインページを発見可能となる。CVSSスコア5.3の中程度の深刻度と評価されており、wp-register.phpパスの制限が不適切なことが原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ...

WordPressのセキュリティプラグイン「Hide My WP Ghost」において、バージョン5.3.02以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がウェブサイトの隠されたログインページを発見可能となる。CVSSスコア5.3の中程度の深刻度と評価されており、wp-register.phpパスの制限が不適切なことが原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPress用プラグインのセキュリティリスクが浮き彫りに

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前にCSRF脆弱性、管理者権限での不正実行が可能に

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前...

WordPressプラグインStaffListのバージョン3.2.3以前において、クロスサイトリクエストフォージェリ(CSRF)からクロスサイトスクリプティング(XSS)につながる脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、設定を更新し悪意のあるスクリプトを実行可能。CVSSスコア6.1の中程度の深刻度と評価され、早急な対応が推奨される。

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前...

WordPressプラグインStaffListのバージョン3.2.3以前において、クロスサイトリクエストフォージェリ(CSRF)からクロスサイトスクリプティング(XSS)につながる脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、設定を更新し悪意のあるスクリプトを実行可能。CVSSスコア6.1の中程度の深刻度と評価され、早急な対応が推奨される。

【CVE-2025-1195】code-projects Real Estate Property Management System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリス

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

STマイクロエレクトロニクスがSTM32C0マイコンの新製品を発表、最大256KBのFlashメモリとCAN FD対応で産業用途に対応

STマイクロエレクトロニクスがSTM32C0マイコンの新製品を発表、最大256KBのFlash...

STマイクロエレクトロニクスは2025年2月26日、STM32C0マイクロコントローラの新製品3種を発表した。最大256KBのFlashメモリを搭載したSTM32C091/C092と最大64KBのSTM32C051をラインナップし、CAN FDインタフェースの追加により産業用途での採用を促進する。単一電源入力と内蔵クロックの採用で外付け部品を削減し、コスト効率の向上も実現している。

STマイクロエレクトロニクスがSTM32C0マイコンの新製品を発表、最大256KBのFlash...

STマイクロエレクトロニクスは2025年2月26日、STM32C0マイクロコントローラの新製品3種を発表した。最大256KBのFlashメモリを搭載したSTM32C091/C092と最大64KBのSTM32C051をラインナップし、CAN FDインタフェースの追加により産業用途での採用を促進する。単一電源入力と内蔵クロックの採用で外付け部品を削減し、コスト効率の向上も実現している。

【CVE-2024-13644】DethemeKit For Elementor 2.1.8にXSS脆弱性、Contributor権限で攻撃可能な深刻な問題が発覚

【CVE-2024-13644】DethemeKit For Elementor 2.1.8に...

WordPressプラグインのDethemeKit For Elementorにおいて、De Galleryウィジェットに関連する重大な脆弱性が発見された。CVE-2024-13644として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが任意のウェブスクリプトを注入できる可能性があり、CVSSにより深刻度6.4と評価されている。影響を受けるのはバージョン2.1.8以前の全バージョンで、早急な対応が求められる。

【CVE-2024-13644】DethemeKit For Elementor 2.1.8に...

WordPressプラグインのDethemeKit For Elementorにおいて、De Galleryウィジェットに関連する重大な脆弱性が発見された。CVE-2024-13644として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが任意のウェブスクリプトを注入できる可能性があり、CVSSにより深刻度6.4と評価されている。影響を受けるのはバージョン2.1.8以前の全バージョンで、早急な対応が求められる。

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処理システムに深刻な影響

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...

Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...

Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPressプラグインのセキュリティリスクが深刻化

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2025-1355】needyamin社のLibrary Card System 1.0に深刻な脆弱性、無制限ファイルアップロードの危険性が浮上

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2024-13478】WordPressプラグインLTL Freight Quotes – TForce Editionに認証不要のSQLインジェクション脆弱性が発見、データベースからの情報

【CVE-2024-13478】WordPressプラグインLTL Freight Quote...

WordFenceが2025年2月19日、WordPressプラグイン「LTL Freight Quotes – TForce Edition」のバージョン3.6.4以前に認証なしでSQLインジェクションが可能な脆弱性を発見した。CVE-2024-13478として識別されたこの脆弱性は、CVSSスコア7.5の深刻度の高い問題として報告されており、認証されていない攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13478】WordPressプラグインLTL Freight Quote...

WordFenceが2025年2月19日、WordPressプラグイン「LTL Freight Quotes – TForce Edition」のバージョン3.6.4以前に認証なしでSQLインジェクションが可能な脆弱性を発見した。CVE-2024-13478として識別されたこの脆弱性は、CVSSスコア7.5の深刻度の高い問題として報告されており、認証されていない攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13479】LTL Freight Quotes – SEFL Edition 3.2.4にSQLインジェクションの脆弱性、情報漏洩のリスクが深刻化

【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...

WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。

【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...

WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6.2にクロスサイトスクリプティングの脆弱性、未認証での攻撃が可能に

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6....

WordfenceによってWordPress用プラグインYaySMTPの2.4.9から2.6.2において、未認証の攻撃者が任意のWebスクリプトを注入できる深刻な脆弱性が報告された。CVE-2025-0916として識別されるこの脆弱性は、CVSSスコア7.2のハイリスクと評価されており、wp_kses_post()関数の削除が原因とされている。Amazon SES、SendGrid、Outlookなど多様なSMTPサービスに対応した同プラグインの早急な更新が推奨される。

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6....

WordfenceによってWordPress用プラグインYaySMTPの2.4.9から2.6.2において、未認証の攻撃者が任意のWebスクリプトを注入できる深刻な脆弱性が報告された。CVE-2025-0916として識別されるこの脆弱性は、CVSSスコア7.2のハイリスクと評価されており、wp_kses_post()関数の削除が原因とされている。Amazon SES、SendGrid、Outlookなど多様なSMTPサービスに対応した同プラグインの早急な更新が推奨される。

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での設定リセットが可能な状態に

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。

【CVE-2024-13489】LTL Freight Quotes – Old Dominion Edition 4.2.10以前に深刻なSQLインジェクションの脆弱性が発見

【CVE-2024-13489】LTL Freight Quotes – Old Domini...

WordPressプラグインのLTL Freight Quotes – Old Dominion Editionにおいて、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン4.2.10以前の全バージョンが影響を受ける。'edit_id'および'dropship_edit_id'パラメータの不適切な処理により、攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13489】LTL Freight Quotes – Old Domini...

WordPressプラグインのLTL Freight Quotes – Old Dominion Editionにおいて、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価され、バージョン4.2.10以前の全バージョンが影響を受ける。'edit_id'および'dropship_edit_id'パラメータの不適切な処理により、攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13534】WordPressプラグインSmall Package Quotesに深刻な脆弱性、データベース情報流出の危険性

【CVE-2024-13534】WordPressプラグインSmall Package Quo...

WordPressプラグイン「Small Package Quotes – Worldwide Express Edition」のバージョン5.2.18以前に、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、攻撃者によるデータベースからの機密情報抽出が可能となっている。edit_idとdropship_edit_idパラメータの不適切な処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13534】WordPressプラグインSmall Package Quo...

WordPressプラグイン「Small Package Quotes – Worldwide Express Edition」のバージョン5.2.18以前に、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、攻撃者によるデータベースからの機密情報抽出が可能となっている。edit_idとdropship_edit_idパラメータの不適切な処理が原因で、早急なアップデートが推奨される。

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッションハイジャックのリスクが深刻化

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッション...

Gridware Cybersecurityが2025年2月19日、ChurchCRM 5.13.0においてリフレクテッドクロスサイトスクリプティング脆弱性を発見したと報告。EditEventAttendees.phpのEIDパラメータに影響し、管理者権限を持つ攻撃者が任意のJavaScriptコードを実行可能。CVSSスコア8.4と高い深刻度で、セッションクッキーの窃取やなりすまし攻撃のリスクが指摘されている。

【CVE-2025-1024】ChurchCRM 5.13.0でXSS脆弱性が発見、セッション...

Gridware Cybersecurityが2025年2月19日、ChurchCRM 5.13.0においてリフレクテッドクロスサイトスクリプティング脆弱性を発見したと報告。EditEventAttendees.phpのEIDパラメータに影響し、管理者権限を持つ攻撃者が任意のJavaScriptコードを実行可能。CVSSスコア8.4と高い深刻度で、セッションクッキーの窃取やなりすまし攻撃のリスクが指摘されている。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redirect脆弱性、悪意のあるサイトへの誘導が可能に

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。