Tech Insights

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を加速する包括的なソリューション提供へ

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を...

エムシーデジタルは2025年3月26日、Google Cloud Sellパートナーの認定を取得。5年以上のGoogle Cloud活用実績を持つ同社は、生成AI、数理最適化、機械学習など、高度な技術を活用したソリューションを提供している。PG BATTLE2年連続優勝やKaggle Grandmaster・Master在籍など、高い技術力を持つ同社の今後の展開に注目が集まる。

エムシーデジタルがGoogle Cloud Sellパートナー認定を取得、企業のデジタル変革を...

エムシーデジタルは2025年3月26日、Google Cloud Sellパートナーの認定を取得。5年以上のGoogle Cloud活用実績を持つ同社は、生成AI、数理最適化、機械学習など、高度な技術を活用したソリューションを提供している。PG BATTLE2年連続優勝やKaggle Grandmaster・Master在籍など、高い技術力を持つ同社の今後の展開に注目が集まる。

【CVE-2025-1517】Sina Extension for Elementor 3.6.0以下にXSS脆弱性、投稿者権限で悪用の可能性

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、認証済みユーザーによる情報漏洩の危険性

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプションの不正更新のリスクが発生

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性、管理者権限の不正取得が可能に

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...

WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...

WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

売れるネット広告社グループJCNTが次世代eSIMサービスTRANS eSIMを展開、世界120カ国以上で利用可能なグローバル通信プラットフォームを実現

売れるネット広告社グループJCNTが次世代eSIMサービスTRANS eSIMを展開、世界12...

売れるネット広告社グループの連結子会社JCNTが、世界120カ国以上で利用可能な次世代eSIMサービス「TRANS eSIM」を正式リリース。物理カード不要で即時切替可能な組み込み型SIMにより、海外旅行や出張時の通信環境を簡単に確保。完全オンライン完結型のUXと業界最安水準の料金プランを提供し、今後はTransfoneとの連携強化により包括的な国際通信サービスの実現を目指す。

売れるネット広告社グループJCNTが次世代eSIMサービスTRANS eSIMを展開、世界12...

売れるネット広告社グループの連結子会社JCNTが、世界120カ国以上で利用可能な次世代eSIMサービス「TRANS eSIM」を正式リリース。物理カード不要で即時切替可能な組み込み型SIMにより、海外旅行や出張時の通信環境を簡単に確保。完全オンライン完結型のUXと業界最安水準の料金プランを提供し、今後はTransfoneとの連携強化により包括的な国際通信サービスの実現を目指す。

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱性、クロスサイトリクエストフォージェリによる不正操作の危険性

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱...

Wordfenceは2025年3月8日、WordPress用プラグイン「Wishlist for WooCommerce: Multi Wishlists Per Customer」にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。バージョン3.1.7以前の全バージョンが影響を受け、CVSSスコアは6.1(中)と評価。管理者権限での設定変更や悪意のあるスクリプト実行が可能となる重大な問題で、早急な対応が必要。

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱...

Wordfenceは2025年3月8日、WordPress用プラグイン「Wishlist for WooCommerce: Multi Wishlists Per Customer」にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。バージョン3.1.7以前の全バージョンが影響を受け、CVSSスコアは6.1(中)と評価。管理者権限での設定変更や悪意のあるスクリプト実行が可能となる重大な問題で、早急な対応が必要。

【CVE-2024-13924】WordPressプラグインStarter Templates by FancyWPにSSRF脆弱性、認証不要で内部サービスへのアクセスが可能に

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2025-28862】WordPress用プラグインComment Date and Gravatar removerにCSRF脆弱性、バージョン1.0以前が影響対象に

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28864】Builder for Contact Form 7にCSRF脆弱性、WordPress管理者に早急な対応が必要に

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sale機能での危険性が判明

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHPオブジェクトインジェクション脆弱性が発見、クリティカルレベルの対応が必要に

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性、サプライチェーン攻撃の危険性が浮き彫りに

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

MicrosoftがWindows App SDK 1.7をリリース、ウィンドウ管理機能とOAuth認証機能が大幅に強化

MicrosoftがWindows App SDK 1.7をリリース、ウィンドウ管理機能とOA...

米MicrosoftはWindows App SDK 1.7をリリースし、AppWindow APIによるウィンドウ管理機能を強化した。タスクバーとタイトルバーのアイコン個別設定やウィンドウサイズの制御が可能になり、OAuth2Manager APIとBackgroundTaskBuilder APIも新たに追加された。さらにContentIsland APIの拡張により、Win32ウィンドウとの連携も改善されている。

MicrosoftがWindows App SDK 1.7をリリース、ウィンドウ管理機能とOA...

米MicrosoftはWindows App SDK 1.7をリリースし、AppWindow APIによるウィンドウ管理機能を強化した。タスクバーとタイトルバーのアイコン個別設定やウィンドウサイズの制御が可能になり、OAuth2Manager APIとBackgroundTaskBuilder APIも新たに追加された。さらにContentIsland APIの拡張により、Win32ウィンドウとの連携も改善されている。

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォーム対応とセキュリティ機能を強化

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...

Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。

Automatticが人気日記アプリDay OneのWindows版を公開、クロスプラットフォ...

Automatticは10年以上の実績を持つ日記アプリDay OneのWindows版を3月18日に公開した。エンドツーエンド暗号化によるプライバシー保護とローカルファーストのストレージ機能を実装し、Windows、Mac、iOS、Android、Web間でのクロスデバイス同期を実現。基本機能は無料で利用可能で、有償プランではメディア添付などの追加機能が利用できる。

日本ロレアルがSTATION Aiと連携しビューティーテックイノベーションプログラムを始動、マーケティングイノベーション部門を新設し革新的技術の発掘へ

日本ロレアルがSTATION Aiと連携しビューティーテックイノベーションプログラムを始動、マ...

日本ロレアルがSTATION Aiと協力し、「ロレアルBig Bang ビューティーテック イノベーション 日本選考 2025」を開始。マーケティングイノベーション部門を新設し、eコマースやオンライン広告、インフルエンサーマーケティングなどの分野でイノベーションを募集。選出企業には中国国際輸入博覧会での展示機会やパリでのインキュベーションプログラム参加機会を提供する。

日本ロレアルがSTATION Aiと連携しビューティーテックイノベーションプログラムを始動、マ...

日本ロレアルがSTATION Aiと協力し、「ロレアルBig Bang ビューティーテック イノベーション 日本選考 2025」を開始。マーケティングイノベーション部門を新設し、eコマースやオンライン広告、インフルエンサーマーケティングなどの分野でイノベーションを募集。選出企業には中国国際輸入博覧会での展示機会やパリでのインキュベーションプログラム参加機会を提供する。

ほくりくみらい基金が休眠預金等活用事業の公募を開始、能登の創造的復興に向けた取り組みを支援へ

ほくりくみらい基金が休眠預金等活用事業の公募を開始、能登の創造的復興に向けた取り組みを支援へ

公益財団法人ほくりくみらい基金は2025年3月21日、休眠預金等活用事業「里山里海で多様な担い手がつながる能登の未来づくり事業」の公募を開始した。総事業費247,800,000円規模で、一次募集では3,000万円×4団体、二次募集では2,000万円×6団体を採択予定。能登半島を中心とする石川県全域で、里山里海の資源活用や地域課題解決に取り組む団体を支援する。

ほくりくみらい基金が休眠預金等活用事業の公募を開始、能登の創造的復興に向けた取り組みを支援へ

公益財団法人ほくりくみらい基金は2025年3月21日、休眠預金等活用事業「里山里海で多様な担い手がつながる能登の未来づくり事業」の公募を開始した。総事業費247,800,000円規模で、一次募集では3,000万円×4団体、二次募集では2,000万円×6団体を採択予定。能登半島を中心とする石川県全域で、里山里海の資源活用や地域課題解決に取り組む団体を支援する。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深刻な脆弱性、管理者権限で悪用の可能性

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2025-26967】Events Calendar for GeoDirectoryに深刻な脆弱性、PHP Object Injectionによる攻撃の可能性

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.0.8で修正完了

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にクロスサイトスクリプティングの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-28867】WordPressプラグインFrontpage category filterにCSRF脆弱性、バージョン1.0.2以前に影響

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderにクロスサイトスクリプティングの脆弱性、CVSS6.5で中程度の深刻度と評価

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...

WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な脆弱性、クロスサイトリクエストフォージェリの悪用が可能に

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-28866】WordPress用プラグインLogin Loggerに深刻な...

WordPress用プラグインLogin Loggerにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.1以前が影響を受け、CVSS評価は4.3(MEDIUM)とされている。Patchstack Allianceの研究者により発見されたこの脆弱性は、攻撃の複雑さが低く特別な権限も必要としないため、早急な対応が推奨されている。

【CVE-2025-28859】WordPress用プラグインMaintenance Notice 1.0.5にCSRF脆弱性、ユーザー操作による不正リクエストの実行が可能に

【CVE-2025-28859】WordPress用プラグインMaintenance Noti...

CodeVibrant社のWordPress用プラグインMaintenance Notice 1.0.5以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28859として識別されるこの脆弱性は、CVSSスコア4.3で「MEDIUM」レベルと評価されている。攻撃には特別な権限は不要だが、ユーザーの操作を必要とし、成功した場合は情報の改ざんが可能となる。

【CVE-2025-28859】WordPress用プラグインMaintenance Noti...

CodeVibrant社のWordPress用プラグインMaintenance Notice 1.0.5以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28859として識別されるこの脆弱性は、CVSSスコア4.3で「MEDIUM」レベルと評価されている。攻撃には特別な権限は不要だが、ユーザーの操作を必要とし、成功した場合は情報の改ざんが可能となる。

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投稿コンテンツの不正ダウンロードのリスクが発生

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...

WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。

【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...

WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェクション脆弱性、データベースからの情報漏洩のリスク

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

MetaがThreadsに大規模アップデート、トピックタグとフォロワー限定返信機能を実装しユーザー体験が向上

MetaがThreadsに大規模アップデート、トピックタグとフォロワー限定返信機能を実装しユー...

Metaは2025年3月20日、テキスト共有アプリThreadsに複数の新機能を追加するアップデートを実施した。プロフィールへの最大10個のトピック追加機能、フォロワー限定の返信設定、改善されたメディアプレーヤーなどが実装され、ユーザーエクスペリエンスが大幅に向上。非公式な発表ながらフォロー中タブのデフォルト設定機能も利用可能になっている。

MetaがThreadsに大規模アップデート、トピックタグとフォロワー限定返信機能を実装しユー...

Metaは2025年3月20日、テキスト共有アプリThreadsに複数の新機能を追加するアップデートを実施した。プロフィールへの最大10個のトピック追加機能、フォロワー限定の返信設定、改善されたメディアプレーヤーなどが実装され、ユーザーエクスペリエンスが大幅に向上。非公式な発表ながらフォロー中タブのデフォルト設定機能も利用可能になっている。