Tech Insights
【CVE-2024-13344】WooCommerceの座席予約プラグインにSQLインジェクシ...
WordPressプラグインAdvance Seat Reservation Management For WooCommerceにSQLインジェクションの脆弱性が発見された。バージョン3.3以下のすべてのバージョンで影響を受け、認証なしでデータベースの機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価され、早急な対応が必要となっている。
【CVE-2024-13344】WooCommerceの座席予約プラグインにSQLインジェクシ...
WordPressプラグインAdvance Seat Reservation Management For WooCommerceにSQLインジェクションの脆弱性が発見された。バージョン3.3以下のすべてのバージョンで影響を受け、認証なしでデータベースの機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価され、早急な対応が必要となっている。
【CVE-2025-46226】WordPressプラグインMPL-Publisher 2.1...
Patchstack OÜがWordPressプラグイン「MPL-Publisher」のバージョン2.18.0以前に存在するクロスサイトスクリプティング脆弱性を公開した。CVSSスコア6.5の中程度の危険性を持つこの脆弱性は、Webページ生成時の入力値処理の不備により、攻撃者による不正なスクリプトの実行を許可してしまう可能性がある。対策としてバージョン2.18.1へのアップデートが推奨される。
【CVE-2025-46226】WordPressプラグインMPL-Publisher 2.1...
Patchstack OÜがWordPressプラグイン「MPL-Publisher」のバージョン2.18.0以前に存在するクロスサイトスクリプティング脆弱性を公開した。CVSSスコア6.5の中程度の危険性を持つこの脆弱性は、Webページ生成時の入力値処理の不備により、攻撃者による不正なスクリプトの実行を許可してしまう可能性がある。対策としてバージョン2.18.1へのアップデートが推奨される。
【CVE-2025-4177】Flynax Bridge 2.2.0にユーザー削除の脆弱性、認...
WordPressプラグインのFlynax Bridgeにおいて、バージョン2.2.0以前に認証されていないユーザーによる任意のユーザー削除が可能となる脆弱性が発見された。deleteUser()関数における権限チェックの欠如により、CVSSスコア5.3のミディアムリスクと評価される脆弱性が確認されている。この脆弱性は【CVE-2025-4177】として識別され、WordPressサイトのセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2025-4177】Flynax Bridge 2.2.0にユーザー削除の脆弱性、認...
WordPressプラグインのFlynax Bridgeにおいて、バージョン2.2.0以前に認証されていないユーザーによる任意のユーザー削除が可能となる脆弱性が発見された。deleteUser()関数における権限チェックの欠如により、CVSSスコア5.3のミディアムリスクと評価される脆弱性が確認されている。この脆弱性は【CVE-2025-4177】として識別され、WordPressサイトのセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2025-3583】WordPress用プラグインNewsletterに深刻な脆弱性...
WPScanが2025年5月5日、WordPress用プラグインNewsletterの8.7.1未満のバージョンにおいて、管理者権限を持つユーザーがストアド型XSS攻撃を実行できる脆弱性を公開した。マルチサイト環境でunfiltered_html機能が無効化されていても攻撃が可能となっており、特に複数の管理者が存在する環境での悪用が懸念される。Dmitrii Ignatyevによって発見されたこの脆弱性は、CVE-2025-3583として識別され、早急な対応が推奨されている。
【CVE-2025-3583】WordPress用プラグインNewsletterに深刻な脆弱性...
WPScanが2025年5月5日、WordPress用プラグインNewsletterの8.7.1未満のバージョンにおいて、管理者権限を持つユーザーがストアド型XSS攻撃を実行できる脆弱性を公開した。マルチサイト環境でunfiltered_html機能が無効化されていても攻撃が可能となっており、特に複数の管理者が存在する環境での悪用が懸念される。Dmitrii Ignatyevによって発見されたこの脆弱性は、CVE-2025-3583として識別され、早急な対応が推奨されている。
【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...
WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。
【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...
WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。
SVJPがAI起業家向け支援プログラムRoad to Silicon Valleyを2025年...
シリコンバレー・ジャパン・プラットフォーム(SVJP)は、AIプロダクト開発に取り組む起業家向け支援プログラム「Road to Silicon Valley -The AI Founder's Journey」を2025年夏に開催することを発表した。6週間のプログラムを通じて、日米のトップメンターや研究者との密な交流機会を提供し、グローバル展開に向けた実践的な知見の習得を支援する。応募開始は2025年6月2日を予定。
SVJPがAI起業家向け支援プログラムRoad to Silicon Valleyを2025年...
シリコンバレー・ジャパン・プラットフォーム(SVJP)は、AIプロダクト開発に取り組む起業家向け支援プログラム「Road to Silicon Valley -The AI Founder's Journey」を2025年夏に開催することを発表した。6週間のプログラムを通じて、日米のトップメンターや研究者との密な交流機会を提供し、グローバル展開に向けた実践的な知見の習得を支援する。応募開始は2025年6月2日を予定。
Plug and Play JapanがFinCity.Tokyoの2025年度金融系外国企業...
Plug and Play Japan株式会社が、FinCity.Tokyoの2025年度金融系外国企業発掘誘致事業「Attraction U Project」を受託。世界60都市以上に拠点を持つベンチャーキャピタル兼アクセラレーターとしての実績を活かし、資産運用業者やフィンテック企業など、東京や日本に不足するサービスや技術を持つ企業の誘致を推進。法規制対応や商慣習への対応支援を通じて、東京の金融エコシステムの活性化を目指す。
Plug and Play JapanがFinCity.Tokyoの2025年度金融系外国企業...
Plug and Play Japan株式会社が、FinCity.Tokyoの2025年度金融系外国企業発掘誘致事業「Attraction U Project」を受託。世界60都市以上に拠点を持つベンチャーキャピタル兼アクセラレーターとしての実績を活かし、資産運用業者やフィンテック企業など、東京や日本に不足するサービスや技術を持つ企業の誘致を推進。法規制対応や商慣習への対応支援を通じて、東京の金融エコシステムの活性化を目指す。
Fleurinaryが女性リーダー向けグローバルネットワーキングイベントInnovateHer...
Fleurinary株式会社は三菱地所株式会社とProspera Womenと共同で、女性リーダーのグローバルなネットワーク形成を促進する「InnovateHer Tokyo 2025」を2025年11月6日・7日にTokyo Innovation Baseにて開催する。基調講演やパネルディスカッション、実践ワークショップやメンタリング、クロスボーダー・ネットワーキングを通じて、女性リーダーたちの国際的な活躍を支援する場を提供する。
Fleurinaryが女性リーダー向けグローバルネットワーキングイベントInnovateHer...
Fleurinary株式会社は三菱地所株式会社とProspera Womenと共同で、女性リーダーのグローバルなネットワーク形成を促進する「InnovateHer Tokyo 2025」を2025年11月6日・7日にTokyo Innovation Baseにて開催する。基調講演やパネルディスカッション、実践ワークショップやメンタリング、クロスボーダー・ネットワーキングを通じて、女性リーダーたちの国際的な活躍を支援する場を提供する。
テクノアが生産管理システムTECHSを展示、こまきDXテックミートアップで中小企業のDX推進を支援
テクノアは2025年5月14日開催の「こまきDXテックミートアップ」に出展参加する。愛知県小牧市の補助金制度説明会と連動し、中小製造業向けクラウド型生産管理システム「TECHS」シリーズやAI・IoTソリューションを展示。STATION Ai入居企業も参加し、最新のデジタル技術やツールが紹介される。
テクノアが生産管理システムTECHSを展示、こまきDXテックミートアップで中小企業のDX推進を支援
テクノアは2025年5月14日開催の「こまきDXテックミートアップ」に出展参加する。愛知県小牧市の補助金制度説明会と連動し、中小製造業向けクラウド型生産管理システム「TECHS」シリーズやAI・IoTソリューションを展示。STATION Ai入居企業も参加し、最新のデジタル技術やツールが紹介される。
KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operati...
KasperskyのGReATは、サイバー攻撃グループLazarusによる新たな攻撃活動「Operation SyncHole」を発見した。韓国のソフトウェア、IT、金融など6組織を標的とした本攻撃では、水飲み場型攻撃とInnorix Agentの脆弱性を組み合わせた高度な手法が用いられ、発見された脆弱性にはKVE-2025-0014が割り当てられた。迅速なパッチ適用により攻撃リスクは軽減されている。
KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operati...
KasperskyのGReATは、サイバー攻撃グループLazarusによる新たな攻撃活動「Operation SyncHole」を発見した。韓国のソフトウェア、IT、金融など6組織を標的とした本攻撃では、水飲み場型攻撃とInnorix Agentの脆弱性を組み合わせた高度な手法が用いられ、発見された脆弱性にはKVE-2025-0014が割り当てられた。迅速なパッチ適用により攻撃リスクは軽減されている。
LINE NEXTがTetherと提携しドル建てステーブルコインを導入、Web3サービスの大衆...
LINE NEXTはKaia DLT財団と共同で、世界最大の米ドル建てステーブルコインTether(USD₮)をLINEプラットフォームに導入する。Mini DappのウォレットでUSD₮による決済・送金が可能となり、リワードとしても提供される。Kaiaブロックチェーンの高速処理能力を活かし、約2億人のLINEユーザーベースを持つアジア市場でのWeb3サービス普及を目指す。
LINE NEXTがTetherと提携しドル建てステーブルコインを導入、Web3サービスの大衆...
LINE NEXTはKaia DLT財団と共同で、世界最大の米ドル建てステーブルコインTether(USD₮)をLINEプラットフォームに導入する。Mini DappのウォレットでUSD₮による決済・送金が可能となり、リワードとしても提供される。Kaiaブロックチェーンの高速処理能力を活かし、約2億人のLINEユーザーベースを持つアジア市場でのWeb3サービス普及を目指す。
ソニーグループとバンダイナムコHDがGaudiyへ100億円出資、3社で戦略的パートナーシップ...
ソニーグループとバンダイナムコホールディングスが、ファンとIPをつなぐプラットフォーム「Gaudiy Fanlink」を展開するGaudiyへ総額100億円を出資。グローバル展開、IP創出、データ活用、ブロックチェーン、生成AIの5つを重点テーマとし、世界最大級のアニメ・マンガコミュニティ「MyAnimeList」も活用した日本発コンテンツの海外展開加速を目指す。
ソニーグループとバンダイナムコHDがGaudiyへ100億円出資、3社で戦略的パートナーシップ...
ソニーグループとバンダイナムコホールディングスが、ファンとIPをつなぐプラットフォーム「Gaudiy Fanlink」を展開するGaudiyへ総額100億円を出資。グローバル展開、IP創出、データ活用、ブロックチェーン、生成AIの5つを重点テーマとし、世界最大級のアニメ・マンガコミュニティ「MyAnimeList」も活用した日本発コンテンツの海外展開加速を目指す。
GoogleがAI活用の新詐欺対策を発表、ChromeとAndroidの保護機能が大幅に強化へ
GoogleはGoogle検索、Chrome、Androidに新たなAI活用の詐欺対策を導入。ChromeにはGemini Nanoを搭載しEnhanced Protection機能を強化、Androidには通話やメッセージの詐欺検出機能を実装。特に航空会社カスタマーサービスを装った詐欺に対して80%以上の検出率を達成し、オンラインセキュリティの向上を実現。
GoogleがAI活用の新詐欺対策を発表、ChromeとAndroidの保護機能が大幅に強化へ
GoogleはGoogle検索、Chrome、Androidに新たなAI活用の詐欺対策を導入。ChromeにはGemini Nanoを搭載しEnhanced Protection機能を強化、Androidには通話やメッセージの詐欺検出機能を実装。特に航空会社カスタマーサービスを装った詐欺に対して80%以上の検出率を達成し、オンラインセキュリティの向上を実現。
きらぼしコンサルティングが東京・北欧スタートアップ6社の相互進出支援プログラムを開始、グローバ...
きらぼしコンサルティングがTOKYO SUTEAMの協定事業者として、東京・北欧スタートアップ海外展開アクセラレータープログラムを始動。日本から抗がん剤開発のFerroptoCureなど3社、北欧からフィンランドの拡張オーディオ技術企業など3社が採択され、2025年3月から1年間の相互市場進出支援を実施。10月には日本、11月には北欧でデモデイを予定している。
きらぼしコンサルティングが東京・北欧スタートアップ6社の相互進出支援プログラムを開始、グローバ...
きらぼしコンサルティングがTOKYO SUTEAMの協定事業者として、東京・北欧スタートアップ海外展開アクセラレータープログラムを始動。日本から抗がん剤開発のFerroptoCureなど3社、北欧からフィンランドの拡張オーディオ技術企業など3社が採択され、2025年3月から1年間の相互市場進出支援を実施。10月には日本、11月には北欧でデモデイを予定している。
EVeMとFirstFollowersがスタートアップ向け組織力強化プログラムを開始、東京都T...
株式会社EVeMがF Ventures LLPと連携し、スタートアップの創業初期における組織づくりを支援する「FirstFollowers ACADEMY」を開始。25歳以下の若手起業家と26〜40歳の次世代経営幹部候補をマッチングし、独自の「マネジメントの型」による実践的支援を提供する。東京都TOKYO SUTEAM採択事業として無料で実施され、社会人のリスキリングとキャリア支援を目的とする。
EVeMとFirstFollowersがスタートアップ向け組織力強化プログラムを開始、東京都T...
株式会社EVeMがF Ventures LLPと連携し、スタートアップの創業初期における組織づくりを支援する「FirstFollowers ACADEMY」を開始。25歳以下の若手起業家と26〜40歳の次世代経営幹部候補をマッチングし、独自の「マネジメントの型」による実践的支援を提供する。東京都TOKYO SUTEAM採択事業として無料で実施され、社会人のリスキリングとキャリア支援を目的とする。
米OpenAIが各国向けAIインフラ支援プログラムを発表、民主的なAI開発の推進へ
米OpenAIは5月7日、Stargateプロジェクトの新施策として各国のAIインフラ整備を支援する「OpenAI for Countries」を発表した。現地データセンターの構築支援やカスタマイズされたChatGPTの提供、AIモデルのセキュリティ管理強化などを通じて、民主的なAI開発の推進を目指す。第一段階として10か国・地域とのプロジェクト実施を予定している。
米OpenAIが各国向けAIインフラ支援プログラムを発表、民主的なAI開発の推進へ
米OpenAIは5月7日、Stargateプロジェクトの新施策として各国のAIインフラ整備を支援する「OpenAI for Countries」を発表した。現地データセンターの構築支援やカスタマイズされたChatGPTの提供、AIモデルのセキュリティ管理強化などを通じて、民主的なAI開発の推進を目指す。第一段階として10か国・地域とのプロジェクト実施を予定している。
Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化
インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。
Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化
インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。
【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...
WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。
【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...
WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。
【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...
WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。
【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...
WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。
【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...
WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。
【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...
WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。
【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...
WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。
【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...
WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。
【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...
WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。
【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...
WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。
【CVE-2025-3890】WordPress Simple Shopping Cart 5...
Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。
【CVE-2025-3890】WordPress Simple Shopping Cart 5...
Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。
【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...
WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。
【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...
WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。
【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...
WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。
【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...
WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。
【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...
WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...
WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...
WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。
【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...
WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。
【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...
WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。
【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...
WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。
【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...
WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。
【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...
WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。
【CVE-2024-13381】Calculated Fields Form 5.2.62未満...
WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。
【CVE-2024-13381】Calculated Fields Form 5.2.62未満...
WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。