Tech Insights

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redirect脆弱性、悪意のあるサイトへの誘導が可能に

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2024-13235】WordPressプラグインPinpoint Booking Systemに深刻な脆弱性、SQLインジェクションによる情報漏洩のリスクが発生

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2025-1402】Event Tickets and Registration 5.19.1.1に認証の欠陥、Contributor権限で任意のチケット削除が可能に

【CVE-2025-1402】Event Tickets and Registration 5...

WordPressプラグイン「Event Tickets and Registration」にチケット削除機能の認証に関する重大な脆弱性が発見された。バージョン5.19.1.1以前に影響し、Contributor以上の権限を持つ攻撃者が任意のチケットを削除可能となる。CVSSスコアは5.3で、攻撃条件の複雑さは低く、特別な権限なしでネットワーク経由での攻撃が可能なため、早急な対応が推奨される。

【CVE-2025-1402】Event Tickets and Registration 5...

WordPressプラグイン「Event Tickets and Registration」にチケット削除機能の認証に関する重大な脆弱性が発見された。バージョン5.19.1.1以前に影響し、Contributor以上の権限を持つ攻撃者が任意のチケットを削除可能となる。CVSSスコアは5.3で、攻撃条件の複雑さは低く、特別な権限なしでネットワーク経由での攻撃が可能なため、早急な対応が推奨される。

GLPグループのMVPがshizaiへリード投資を実施、物流業界のエコシステム創造へ向け成長支援を本格化

GLPグループのMVPがshizaiへリード投資を実施、物流業界のエコシステム創造へ向け成長支...

GLPグループのMonoful Venture Partnersは、オリジナル包装資材の制作プラットフォーム「shizai」を提供する株式会社shizaiへリード投資を実施した。138.5億円規模のMonoful Venture Partners 1号ファンドを通じた投資により、GLPグループの顧客基盤を活用した成長支援を展開。EC市場の拡大に伴う包装資材需要の増加に対応し、物流業界のエコシステム創造を目指す。

GLPグループのMVPがshizaiへリード投資を実施、物流業界のエコシステム創造へ向け成長支...

GLPグループのMonoful Venture Partnersは、オリジナル包装資材の制作プラットフォーム「shizai」を提供する株式会社shizaiへリード投資を実施した。138.5億円規模のMonoful Venture Partners 1号ファンドを通じた投資により、GLPグループの顧客基盤を活用した成長支援を展開。EC市場の拡大に伴う包装資材需要の増加に対応し、物流業界のエコシステム創造を目指す。

MARBLEXが2025年ロードマップを発表、Web3ゲームパブリッシングの新モデルと7つの新作タイトルを公開

MARBLEXが2025年ロードマップを発表、Web3ゲームパブリッシングの新モデルと7つの新...

ネットマーブルのブロックチェーン専門子会社MARBLEXが2025年ロードマップを発表。新スローガン「FUN COMES FIRST」のもと、セミ・パブリッシングモデルを導入しWeb3ゲーム開発を支援する。Immutableとの共同ファンドで2,000万米ドル超を確保し、『Self-Made Billionaire』など7つの新作ゲームタイトルを発表。2025年4月にはドバイでハッカソン「MBX, Hack the FUN」を開催予定だ。

MARBLEXが2025年ロードマップを発表、Web3ゲームパブリッシングの新モデルと7つの新...

ネットマーブルのブロックチェーン専門子会社MARBLEXが2025年ロードマップを発表。新スローガン「FUN COMES FIRST」のもと、セミ・パブリッシングモデルを導入しWeb3ゲーム開発を支援する。Immutableとの共同ファンドで2,000万米ドル超を確保し、『Self-Made Billionaire』など7つの新作ゲームタイトルを発表。2025年4月にはドバイでハッカソン「MBX, Hack the FUN」を開催予定だ。

クラスとスペースモールが協業、CLAS BUSINESSによる高品質なレンタルスペースの運営を開始

クラスとスペースモールが協業、CLAS BUSINESSによる高品質なレンタルスペースの運営を開始

株式会社クラスと株式会社スペースモールが協業し、法人向けサービス「CLAS BUSINESS」を活用した2つのレンタルスペースを展開開始。TheSpace錦糸町とGAME秋葉原にて、R2O(rent to own)方式によるインテリアコーディネートを導入し、デザイン性と持続可能性を両立したスペース運営を実現。初期投資負担の軽減と品質維持を可能にする新たなビジネスモデルを確立。

クラスとスペースモールが協業、CLAS BUSINESSによる高品質なレンタルスペースの運営を開始

株式会社クラスと株式会社スペースモールが協業し、法人向けサービス「CLAS BUSINESS」を活用した2つのレンタルスペースを展開開始。TheSpace錦糸町とGAME秋葉原にて、R2O(rent to own)方式によるインテリアコーディネートを導入し、デザイン性と持続可能性を両立したスペース運営を実現。初期投資負担の軽減と品質維持を可能にする新たなビジネスモデルを確立。

京都マイクロコンピュータがRISC-V対応のSOLIDバージョン4.0をリリース、組み込みシステム開発の効率化に貢献

京都マイクロコンピュータがRISC-V対応のSOLIDバージョン4.0をリリース、組み込みシス...

NEDOの研究開発事業の成果として、京都マイクロコンピュータがRISC-V対応のリアルタイム開発プラットフォーム「SOLID」バージョン4.0を発表。既存のArm環境と同等の開発体験を提供し、開発環境習得時間の大幅削減と導入コスト低減を実現。自動バグ検出や分割開発機能、MMU設定の自動化など、大規模組み込みソフトウェア開発に必要な機能を搭載している。

京都マイクロコンピュータがRISC-V対応のSOLIDバージョン4.0をリリース、組み込みシス...

NEDOの研究開発事業の成果として、京都マイクロコンピュータがRISC-V対応のリアルタイム開発プラットフォーム「SOLID」バージョン4.0を発表。既存のArm環境と同等の開発体験を提供し、開発環境習得時間の大幅削減と導入コスト低減を実現。自動バグ検出や分割開発機能、MMU設定の自動化など、大規模組み込みソフトウェア開発に必要な機能を搭載している。

InterXがSaaS活用経験者向け副業プラットフォームを開始、専門家による企業支援エコシステムの構築へ

InterXがSaaS活用経験者向け副業プラットフォームを開始、専門家による企業支援エコシステ...

株式会社InterXは2025年2月26日より、SaaS活用経験者向けの副業プラットフォームの事前登録を開始した。Salesforce、Jira、Domoなど20種以上のSaaSツールを対象に、企業の活用課題解決を支援する。専属コンサルタントによるマッチングと独自のプロジェクト管理ツールを提供し、週8時間で月20万円程度の報酬が得られるプロジェクトも用意されている。

InterXがSaaS活用経験者向け副業プラットフォームを開始、専門家による企業支援エコシステ...

株式会社InterXは2025年2月26日より、SaaS活用経験者向けの副業プラットフォームの事前登録を開始した。Salesforce、Jira、Domoなど20種以上のSaaSツールを対象に、企業の活用課題解決を支援する。専属コンサルタントによるマッチングと独自のプロジェクト管理ツールを提供し、週8時間で月20万円程度の報酬が得られるプロジェクトも用意されている。

LINK-JがTOKYO SUTEAM協定期間を延長、ライフサイエンス系スタートアップの英国・欧州進出支援を強化

LINK-JがTOKYO SUTEAM協定期間を延長、ライフサイエンス系スタートアップの英国・...

LINK-JはTOKYO SUTEAM協定事業者として優れた成果を上げ、協定期間が1年延長された。これに伴い、ライフサイエンス系スタートアップの英国・欧州進出を支援するUNIKORNプログラムの第二期参加企業募集を開始。最大4社を募集し、メンタリングから展示会参加まで包括的な支援を提供する。応募期間は2025年2月25日から3月31日まで。

LINK-JがTOKYO SUTEAM協定期間を延長、ライフサイエンス系スタートアップの英国・...

LINK-JはTOKYO SUTEAM協定事業者として優れた成果を上げ、協定期間が1年延長された。これに伴い、ライフサイエンス系スタートアップの英国・欧州進出を支援するUNIKORNプログラムの第二期参加企業募集を開始。最大4社を募集し、メンタリングから展示会参加まで包括的な支援を提供する。応募期間は2025年2月25日から3月31日まで。

サイオステクノロジーとScalarが効率的なデータマネジメントサービスの提供に向けて協業開始、複雑なシステム環境下での運用効率化を実現へ

サイオステクノロジーとScalarが効率的なデータマネジメントサービスの提供に向けて協業開始、...

サイオステクノロジーと株式会社Scalarは2025年2月から、データの一貫性と完全性および真正性を担保した効率的なデータマネジメントサービスの提供を目指し協業を開始する。両社のソリューションを組み合わせることで、複雑化するシステム環境下でのデータ管理効率化を実現。ScalarDBによる異種データベースの統合とScalarDLによるセキュリティ強化で、企業のDX推進を支援する。

サイオステクノロジーとScalarが効率的なデータマネジメントサービスの提供に向けて協業開始、...

サイオステクノロジーと株式会社Scalarは2025年2月から、データの一貫性と完全性および真正性を担保した効率的なデータマネジメントサービスの提供を目指し協業を開始する。両社のソリューションを組み合わせることで、複雑化するシステム環境下でのデータ管理効率化を実現。ScalarDBによる異種データベースの統合とScalarDLによるセキュリティ強化で、企業のDX推進を支援する。

ABALが次世代XRプラットフォーム「Scape®」を発表、特許技術による無限空間拡張と効率的運営システムで体験型エンターテインメントを革新

ABALが次世代XRプラットフォーム「Scape®」を発表、特許技術による無限空間拡張と効率的...

株式会社ABALが発表した「Scape®」は、18件の特許技術を活用し現実空間を無限のバーチャル空間に拡張する次世代XRエンターテインメントプラットフォーム。最大100人の同時体験を3人のスタッフで運営可能な効率的なシステムと、「Scape ID」による現実世界とバーチャル空間の連携機能を備え、新しい体験型ビジネスの創出を支援する。

ABALが次世代XRプラットフォーム「Scape®」を発表、特許技術による無限空間拡張と効率的...

株式会社ABALが発表した「Scape®」は、18件の特許技術を活用し現実空間を無限のバーチャル空間に拡張する次世代XRエンターテインメントプラットフォーム。最大100人の同時体験を3人のスタッフで運営可能な効率的なシステムと、「Scape ID」による現実世界とバーチャル空間の連携機能を備え、新しい体験型ビジネスの創出を支援する。

大阪産業局が新事業展開テイクオフ大交流会を開催、中小企業約100社による新規事業創出を促進

大阪産業局が新事業展開テイクオフ大交流会を開催、中小企業約100社による新規事業創出を促進

公益財団法人大阪産業局は2025年3月11日、NTT西日本運営のQUINTBRIDGEにて新事業展開テイクオフ大交流会を開催する。3年間で約1150事業者を支援してきた同事業は、年商5000万円未満の小規模事業者が約50%を占める。基調講演では山下義弘氏が登壇し、他社を巻き込んだ新商品開発の成功事例を共有。自由交流会では異業種間コラボレーションを促進し、新たなビジネス機会の創出を目指す。

大阪産業局が新事業展開テイクオフ大交流会を開催、中小企業約100社による新規事業創出を促進

公益財団法人大阪産業局は2025年3月11日、NTT西日本運営のQUINTBRIDGEにて新事業展開テイクオフ大交流会を開催する。3年間で約1150事業者を支援してきた同事業は、年商5000万円未満の小規模事業者が約50%を占める。基調講演では山下義弘氏が登壇し、他社を巻き込んだ新商品開発の成功事例を共有。自由交流会では異業種間コラボレーションを促進し、新たなビジネス機会の創出を目指す。

KIIがエイターリンクに追加出資を実施、FA領域とビルマネジメント向け半導体開発とグローバル展開を加速

KIIがエイターリンクに追加出資を実施、FA領域とビルマネジメント向け半導体開発とグローバル展...

慶應イノベーション・イニシアティブ(KII)がワイヤレス給電技術の社会実装を進めるエイターリンクに追加出資し、総額28億円の資金調達を実現。2024年3月から空間伝送型ワイヤレス給電システム「AirPlug」の一般販売を開始しており、今回の資金調達でFA領域とビルマネジメント領域向けの半導体開発とグローバル展開を推進する。

KIIがエイターリンクに追加出資を実施、FA領域とビルマネジメント向け半導体開発とグローバル展...

慶應イノベーション・イニシアティブ(KII)がワイヤレス給電技術の社会実装を進めるエイターリンクに追加出資し、総額28億円の資金調達を実現。2024年3月から空間伝送型ワイヤレス給電システム「AirPlug」の一般販売を開始しており、今回の資金調達でFA領域とビルマネジメント領域向けの半導体開発とグローバル展開を推進する。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証の脆弱性、プラグイン設定の不正変更のリスクが発生

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前に認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスク

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティング脆弱性、早急な対応が必要に

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデータへの不正アクセスが可能に

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライベートメッセージ閲覧の脆弱性が発見、情報漏洩のリスクに警戒

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.2以前に、不適切な直接オブジェクト参照(IDOR)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが他者のプライベートメッセージを閲覧可能な状態となっており、情報漏洩のリスクが指摘されている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.2以前に、不適切な直接オブジェクト参照(IDOR)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが他者のプライベートメッセージを閲覧可能な状態となっており、情報漏洩のリスクが指摘されている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの脆弱性、管理者の操作を悪用した攻撃のリスク

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13573】WordPressプラグインZigaform Form Builder Liteに深刻な脆弱性、早急な対応が必要

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻撃者による投稿順序操作の危険性

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バージョン2.5.1以前に影響

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にX...

WordPressのGutenbergブロック用プラグイン「aBlocks」にクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13465として識別されるこの脆弱性は、Table Of ContentブロックのmarkerView属性における入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つユーザーが任意のWebスクリプトを実行可能な状態となっている。CVSSスコアは6.4で、深刻度は中程度と評価された。

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にX...

WordPressのGutenbergブロック用プラグイン「aBlocks」にクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13465として識別されるこの脆弱性は、Table Of ContentブロックのmarkerView属性における入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つユーザーが任意のWebスクリプトを実行可能な状態となっている。CVSSスコアは6.4で、深刻度は中程度と評価された。

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆弱性、ディレクトリトラバーサル攻撃のリスクに警戒

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆...

WordPressプラグインWP Table Managerの4.1.3以前のバージョンにおいて、認証チェックの欠如による重大な脆弱性が発見された。Subscriber以上の権限を持つ認証済みユーザーが、wptm_getFoldersというAJAXアクションを介して任意のファイル名やディレクトリを閲覧できる状態となっており、CVSSv3.1スコアは4.3(MEDIUM)と評価されている。JoomUnited社は既に修正版をリリースしており、早急なアップデートが推奨される。

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆...

WordPressプラグインWP Table Managerの4.1.3以前のバージョンにおいて、認証チェックの欠如による重大な脆弱性が発見された。Subscriber以上の権限を持つ認証済みユーザーが、wptm_getFoldersというAJAXアクションを介して任意のファイル名やディレクトリを閲覧できる状態となっており、CVSSv3.1スコアは4.3(MEDIUM)と評価されている。JoomUnited社は既に修正版をリリースしており、早急なアップデートが推奨される。