Tech Insights
HONORがAIデバイスエコシステム戦略を発表、ALPHA PLANによる3段階のロードマップ...
HONORは2025年3月2日、AIデバイスエコシステム企業への転換を目指す新戦略「HONOR ALPHA PLAN」を発表した。世界初のGUIベースAIエージェントやAiMAGE技術の開発、5年間で100億ドル以上の投資計画、Android OSの7年間サポート約束など、具体的な施策を展開。Google CloudやQualcomm Technologiesとの協業により、AI時代における新たな価値創造を目指す。
HONORがAIデバイスエコシステム戦略を発表、ALPHA PLANによる3段階のロードマップ...
HONORは2025年3月2日、AIデバイスエコシステム企業への転換を目指す新戦略「HONOR ALPHA PLAN」を発表した。世界初のGUIベースAIエージェントやAiMAGE技術の開発、5年間で100億ドル以上の投資計画、Android OSの7年間サポート約束など、具体的な施策を展開。Google CloudやQualcomm Technologiesとの協業により、AI時代における新たな価値創造を目指す。
IBMがHashiCorpの買収を完了、ハイブリッドクラウドの自動化基盤が大幅に強化へ
IBMは2025年2月27日、クラウドインフラの自動化ツールを提供するHashiCorpの買収を完了したと発表した。買収額は1株35ドルで企業価値64億ドル。TerraformやVaultなどのHashiCorp製品群とRed Hatやwatsonxとのシナジー効果により、ハイブリッドクラウド環境における自動化とセキュリティの強化が期待される。
IBMがHashiCorpの買収を完了、ハイブリッドクラウドの自動化基盤が大幅に強化へ
IBMは2025年2月27日、クラウドインフラの自動化ツールを提供するHashiCorpの買収を完了したと発表した。買収額は1株35ドルで企業価値64億ドル。TerraformやVaultなどのHashiCorp製品群とRed Hatやwatsonxとのシナジー効果により、ハイブリッドクラウド環境における自動化とセキュリティの強化が期待される。
【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...
WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。
【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...
WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。
【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...
WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。
【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...
WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。
【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...
WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。
【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...
WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。
MVPがロジレスへリード投資を実施、EC自動出荷システムによる物流業界の効率化を推進
GLPグループのMonoful Venture Partnersが、EC自動出荷システム「LOGILESS」を提供するロジレスへリード投資家として出資を実施。受注管理システムと倉庫管理システムの一体型提供により、出荷指示の90%以上を完全自動化し、物流現場の生産性向上とコスト削減を実現。GLPグループの顧客基盤を活用した支援を通じて、物流業界のエコシステム創造を目指す。
MVPがロジレスへリード投資を実施、EC自動出荷システムによる物流業界の効率化を推進
GLPグループのMonoful Venture Partnersが、EC自動出荷システム「LOGILESS」を提供するロジレスへリード投資家として出資を実施。受注管理システムと倉庫管理システムの一体型提供により、出荷指示の90%以上を完全自動化し、物流現場の生産性向上とコスト削減を実現。GLPグループの顧客基盤を活用した支援を通じて、物流業界のエコシステム創造を目指す。
NECがParrotAnalytics社のDemand360と連携、日本コンテンツの海外展開支...
NECは2025年3月1日より、ParrotAnalytics社のコンテンツ分析サービス「Demand360」の日本国内における営業連携を開始する。世界200カ国以上でテレビ番組や映画などのコンテンツ需要を数値化し、日本のIPコンテンツの海外展開を支援。海賊版対策にも活用し、5.8兆円規模に成長した日本のコンテンツ輸出のさらなる拡大を目指す。
NECがParrotAnalytics社のDemand360と連携、日本コンテンツの海外展開支...
NECは2025年3月1日より、ParrotAnalytics社のコンテンツ分析サービス「Demand360」の日本国内における営業連携を開始する。世界200カ国以上でテレビ番組や映画などのコンテンツ需要を数値化し、日本のIPコンテンツの海外展開を支援。海賊版対策にも活用し、5.8兆円規模に成長した日本のコンテンツ輸出のさらなる拡大を目指す。
トイメディカルが高齢出産女性向け栄養モニタリングと塩分ケアの実証実験結果を発表、QOL改善に向...
熊本県のUXプロジェクト実証実験サポート事業の一環として、トイメディカル株式会社がソフトバンク、ユーリアと共同で実施した高齢出産女性向けの栄養状態モニタリングと塩分ケアの実証実験結果が発表された。熊本県在住の35歳女性181名を対象に実施され、検査キットによる栄養管理や塩分スコアの改善が確認された。今後はセルフ栄養検査と食領域を組み合わせた新サービスの事業化を目指す。
トイメディカルが高齢出産女性向け栄養モニタリングと塩分ケアの実証実験結果を発表、QOL改善に向...
熊本県のUXプロジェクト実証実験サポート事業の一環として、トイメディカル株式会社がソフトバンク、ユーリアと共同で実施した高齢出産女性向けの栄養状態モニタリングと塩分ケアの実証実験結果が発表された。熊本県在住の35歳女性181名を対象に実施され、検査キットによる栄養管理や塩分スコアの改善が確認された。今後はセルフ栄養検査と食領域を組み合わせた新サービスの事業化を目指す。
【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...
WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。
【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...
WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。
【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...
ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。
【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...
ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。
【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...
WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...
WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-13438】SpeedSize Image & Video AI-Opti...
WordFenceは2025年2月18日、WordPress用プラグイン「SpeedSize Image & Video AI-Optimizer」のバージョン1.5.1以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。この脆弱性はCVE-2024-13438として識別され、攻撃者が管理者をだまして特定のアクションを実行させることで、プラグインのキャッシュをクリアすることが可能になる。CVSSスコアは4.3(深刻度:中)と評価されている。
【CVE-2024-13438】SpeedSize Image & Video AI-Opti...
WordFenceは2025年2月18日、WordPress用プラグイン「SpeedSize Image & Video AI-Optimizer」のバージョン1.5.1以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。この脆弱性はCVE-2024-13438として識別され、攻撃者が管理者をだまして特定のアクションを実行させることで、プラグインのキャッシュをクリアすることが可能になる。CVSSスコアは4.3(深刻度:中)と評価されている。
【CVE-2025-0805】WordPress用プラグインMortgage Calculat...
WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。
【CVE-2025-0805】WordPress用プラグインMortgage Calculat...
WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。
【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...
WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。
【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...
WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。
【CVE-2024-13363】Raptive Adsプラグインに反射型XSS脆弱性、Word...
WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前の全バージョンに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13363として識別されたこの脆弱性は、CVSS評価で6.1点の中程度とされており、未認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。早急なバージョンアップデートが推奨される。
【CVE-2024-13363】Raptive Adsプラグインに反射型XSS脆弱性、Word...
WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前の全バージョンに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13363として識別されたこの脆弱性は、CVSS評価で6.1点の中程度とされており、未認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。早急なバージョンアップデートが推奨される。
【CVE-2024-13533】Small Package Quotes - USPS Edi...
WordPressプラグインSmall Package Quotes - USPS Editionにおいて、認証不要のSQL Injection脆弱性が発見された。CVE-2024-13533として識別されるこの脆弱性は、バージョン1.3.5以前の全バージョンに影響を及ぼし、CVSSスコア7.5の高リスク評価となっている。「edit_id」パラメータの不適切な処理により、データベースからの機密情報抽出が可能となる深刻な問題が指摘されている。
【CVE-2024-13533】Small Package Quotes - USPS Edi...
WordPressプラグインSmall Package Quotes - USPS Editionにおいて、認証不要のSQL Injection脆弱性が発見された。CVE-2024-13533として識別されるこの脆弱性は、バージョン1.3.5以前の全バージョンに影響を及ぼし、CVSSスコア7.5の高リスク評価となっている。「edit_id」パラメータの不適切な処理により、データベースからの機密情報抽出が可能となる深刻な問題が指摘されている。
サーキュレーションが射水市ビジネスサポートセンターの運営企業に採択、中小企業支援と学生の起業促...
サーキュレーションが北陸銀行、ATOMicaと共同で射水市ビジネスサポートセンターの運営企業に採択された。2025年4月の開設に向け、ビジネスアドバイザーとコミュニティマネージャーを配置し、中小企業の経営支援や学生の起業支援を実施。人材面、金融面、情報面での多角的支援により、地域経済の活性化と新規事業の創出を目指す。
サーキュレーションが射水市ビジネスサポートセンターの運営企業に採択、中小企業支援と学生の起業促...
サーキュレーションが北陸銀行、ATOMicaと共同で射水市ビジネスサポートセンターの運営企業に採択された。2025年4月の開設に向け、ビジネスアドバイザーとコミュニティマネージャーを配置し、中小企業の経営支援や学生の起業支援を実施。人材面、金融面、情報面での多角的支援により、地域経済の活性化と新規事業の創出を目指す。
クラスがみずほ銀行から6億円を調達、耐久消費財の循環型エコシステム構築を加速へ
株式会社クラスは2025年2月27日、株式会社みずほ銀行から6億円のデットファイナンスによる資金調達を実施した。DXインフラを活用したオペレーションの改善により、2024年12月期には前年同月比で売上50%以上の成長を達成。調達資金は在庫投資に充当し、耐久消費財の循環型エコシステム構築を推進する。循環型サプライチェーンのDX化による収益性と成長性が評価された。
クラスがみずほ銀行から6億円を調達、耐久消費財の循環型エコシステム構築を加速へ
株式会社クラスは2025年2月27日、株式会社みずほ銀行から6億円のデットファイナンスによる資金調達を実施した。DXインフラを活用したオペレーションの改善により、2024年12月期には前年同月比で売上50%以上の成長を達成。調達資金は在庫投資に充当し、耐久消費財の循環型エコシステム構築を推進する。循環型サプライチェーンのDX化による収益性と成長性が評価された。
【CVE-2025-0866】WordPressプラグインLegoeso PDF Manage...
WordPressプラグインLegoeso PDF Managerのバージョン1.2.2以前に、SQLインジェクションの脆弱性が発見された。checkedValsパラメータの不適切な処理により、Author以上の権限を持つ認証済みユーザーが追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)で、Wordfenceによって報告されたこの脆弱性は、早急な対応が求められている。
【CVE-2025-0866】WordPressプラグインLegoeso PDF Manage...
WordPressプラグインLegoeso PDF Managerのバージョン1.2.2以前に、SQLインジェクションの脆弱性が発見された。checkedValsパラメータの不適切な処理により、Author以上の権限を持つ認証済みユーザーが追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)で、Wordfenceによって報告されたこの脆弱性は、早急な対応が求められている。
【CVE-2024-13855】Prime Addons for Elementor 2.0....
WordPressプラグインのPrime Addons for Elementorにおいて、バージョン2.0.1以前に重大な脆弱性が発見された。CVE-2024-13855として識別されるこの脆弱性は、pae_global_blockショートコードの検証不備により、Contributor以上の権限を持つユーザーがプライベートコンテンツや下書きを閲覧可能になる。Elementorで作成されたコンテンツのみが影響を受けるが、早急な対応が必要とされている。
【CVE-2024-13855】Prime Addons for Elementor 2.0....
WordPressプラグインのPrime Addons for Elementorにおいて、バージョン2.0.1以前に重大な脆弱性が発見された。CVE-2024-13855として識別されるこの脆弱性は、pae_global_blockショートコードの検証不備により、Contributor以上の権限を持つユーザーがプライベートコンテンツや下書きを閲覧可能になる。Elementorで作成されたコンテンツのみが影響を受けるが、早急な対応が必要とされている。
DeFimansがNapier v2のCuratorに就任、分散型金融プロトコルの利回り管理機...
web3プロフェッショナルファームDeFimansは、Napier Labsが運営する分散型金融プロトコルNapier v2のCuratorに就任した。モジュール型設計を採用したNapier v2では、Curatorによるアセットの作成や手数料構造のカスタマイズなど、柔軟かつスケーラブルな利回り管理が可能になる。DeFimansは専門的知見を活用し、伝統的金融からの資本流入促進を目指す。
DeFimansがNapier v2のCuratorに就任、分散型金融プロトコルの利回り管理機...
web3プロフェッショナルファームDeFimansは、Napier Labsが運営する分散型金融プロトコルNapier v2のCuratorに就任した。モジュール型設計を採用したNapier v2では、Curatorによるアセットの作成や手数料構造のカスタマイズなど、柔軟かつスケーラブルな利回り管理が可能になる。DeFimansは専門的知見を活用し、伝統的金融からの資本流入促進を目指す。
MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...
MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。
MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...
MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。
GitHubがWindows Terminal CanaryでCopilot Free対応を開...
GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。
GitHubがWindows Terminal CanaryでCopilot Free対応を開...
GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。
MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...
MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。
MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...
MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。
【CVE-2025-24436】Adobe Commerceに権限昇格の脆弱性、複数バージョン...
Adobeは2025年2月11日、Adobe Commerceの複数バージョンに影響を及ぼす不適切なアクセス制御の脆弱性を公開した。この脆弱性により攻撃者がセキュリティ対策をバイパスし、不正なアクセスを得られる可能性がある。影響を受けるバージョンは2.4.7-beta1から2.4.4-p11以前まで。ユーザー操作不要で悪用される可能性があり、早急な対応が求められる。
【CVE-2025-24436】Adobe Commerceに権限昇格の脆弱性、複数バージョン...
Adobeは2025年2月11日、Adobe Commerceの複数バージョンに影響を及ぼす不適切なアクセス制御の脆弱性を公開した。この脆弱性により攻撃者がセキュリティ対策をバイパスし、不正なアクセスを得られる可能性がある。影響を受けるバージョンは2.4.7-beta1から2.4.4-p11以前まで。ユーザー操作不要で悪用される可能性があり、早急な対応が求められる。
【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...
WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。
【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...
WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。
【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...
Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。
【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...
Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。
【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...
WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。
【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...
WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。
【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...
WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。
【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...
WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。
【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...
WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。
【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...
WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。