Tech Insights

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPress用プラグインのセキュリティリスクが浮き彫りに

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2025-1188】Codezips Gym Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒必要

【CVE-2025-1188】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のupdateroutine.phpファイルにSQLインジェクションの脆弱性が発見された。tid引数の不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のv4.0で5.3、v3.1とv3.0で6.3と評価され、攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-1188】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のupdateroutine.phpファイルにSQLインジェクションの脆弱性が発見された。tid引数の不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のv4.0で5.3、v3.1とv3.0で6.3と評価され、攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-1195】code-projects Real Estate Property Management System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリス

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処理システムに深刻な影響

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...

Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。

【CVE-2024-13692】WooCommerceプラグインに認証バイパスの脆弱性、返金処...

Wordfenceは2025年2月14日、WooCommerceのReturn Refund and Exchange For WooCommerceプラグインにおいて、認証済みユーザーによる不適切な直接オブジェクト参照の脆弱性を発見した。この脆弱性により、返金画像の改ざんや他のユーザーの注文メッセージの閲覧が可能となる。CVSSスコアは5.4で中程度の深刻度と評価されている。

【CVE-2025-1355】needyamin社のLibrary Card System 1.0に深刻な脆弱性、無制限ファイルアップロードの危険性が浮上

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での設定リセットが可能な状態に

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。

【CVE-2024-13364】Raptive Adsプラグインに認証機能の脆弱性、未認証での...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前に認証機能の脆弱性が発見された。site_ads_files_reset()とcls_file_reset()関数に権限チェックが実装されておらず、未認証の攻撃者による広告設定のリセットが可能な状態となっている。CVSSスコアは5.3で中程度の深刻度と評価され、攻撃の複雑さは低く特別な権限を必要としないため、早急な対応が求められる状況だ。

【CVE-2024-13818】WordPressプラグインRegistration Forms 3.8.3.9以前に深刻な情報漏洩の脆弱性が発見、認証なしでアクセス可能な状態に

【CVE-2024-13818】WordPressプラグインRegistration Form...

WordPressのプラグインRegistration Formsにおいて、バージョン3.8.3.9以前に重大な脆弱性が発見された。CVE-2024-13818として識別されるこの脆弱性により、認証されていない攻撃者がログファイルを通じてユーザーの機密情報にアクセスできる可能性がある。CVSSスコア5.3の中程度の脆弱性とされ、早急な対策が必要とされている。

【CVE-2024-13818】WordPressプラグインRegistration Form...

WordPressのプラグインRegistration Formsにおいて、バージョン3.8.3.9以前に重大な脆弱性が発見された。CVE-2024-13818として識別されるこの脆弱性により、認証されていない攻撃者がログファイルを通じてユーザーの機密情報にアクセスできる可能性がある。CVSSスコア5.3の中程度の脆弱性とされ、早急な対策が必要とされている。

ユニリタがWaha! Transformerの生成AI連携オプションを発表、セキュアな環境でのAI活用を実現へ

ユニリタがWaha! Transformerの生成AI連携オプションを発表、セキュアな環境での...

株式会社ユニリタは、純国産ノーコードETLツール「Waha! Transformer」の新オプションとして生成AI連携オプションを2025年2月に提供開始する。クラウドへのデータアップロードが不要で情報漏洩リスクを抑制しつつ、チャットWebアプリケーションを通じた生成AIとの対話や、PDF・Word・画像ファイルへの対応、PostgreSQLのベクトルデータベース連携など、充実した機能を実現した。

ユニリタがWaha! Transformerの生成AI連携オプションを発表、セキュアな環境での...

株式会社ユニリタは、純国産ノーコードETLツール「Waha! Transformer」の新オプションとして生成AI連携オプションを2025年2月に提供開始する。クラウドへのデータアップロードが不要で情報漏洩リスクを抑制しつつ、チャットWebアプリケーションを通じた生成AIとの対話や、PDF・Word・画像ファイルへの対応、PostgreSQLのベクトルデータベース連携など、充実した機能を実現した。

IIJがCDPでSMXとの連携機能を提供開始、ノーコードでのアカウント連携とコスト削減を実現

IIJがCDPでSMXとの連携機能を提供開始、ノーコードでのアカウント連携とコスト削減を実現

IIJは2025年2月25日、クラウドデータプラットフォームサービスにおいてIIJセキュアMXサービスとの連携機能「IIJセキュアMXサービスアダプター」の提供を開始した。ノーコードによるアカウントデータ連携が可能となり、メールアカウント管理の運用効率が向上。また月額6万円からの新プラン「ライトエディション」も提供開始され、低コストでのデータ連携実現を支援する。

IIJがCDPでSMXとの連携機能を提供開始、ノーコードでのアカウント連携とコスト削減を実現

IIJは2025年2月25日、クラウドデータプラットフォームサービスにおいてIIJセキュアMXサービスとの連携機能「IIJセキュアMXサービスアダプター」の提供を開始した。ノーコードによるアカウントデータ連携が可能となり、メールアカウント管理の運用効率が向上。また月額6万円からの新プラン「ライトエディション」も提供開始され、低コストでのデータ連携実現を支援する。

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラ株式会社は2025年2月25日、ファイルストレージ「VSP One File」の販売を開始した。データプラットフォーム「VSP One」の機能拡充により、企業内の散在データを集約・統合可能になる。高速レスポンス、最大1,024世代のスナップショット機能、平均75%のデータ削減率など、企業の生産性向上に寄与する機能を搭載している。

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラ株式会社は2025年2月25日、ファイルストレージ「VSP One File」の販売を開始した。データプラットフォーム「VSP One」の機能拡充により、企業内の散在データを集約・統合可能になる。高速レスポンス、最大1,024世代のスナップショット機能、平均75%のデータ削減率など、企業の生産性向上に寄与する機能を搭載している。

SalesforceとGoogleが戦略的パートナーシップを拡大、企業向けAIエージェント構築基盤の強化へ

SalesforceとGoogleが戦略的パートナーシップを拡大、企業向けAIエージェント構築...

SalesforceとGoogleは2024年2月24日、企業向けAI機能強化を目的とした戦略的パートナーシップの拡大を発表した。AgentforceにGeminiを統合し、マルチモーダルAI機能と200万トークンの文脈理解を実現。さらにService CloudとGoogle Customer Engagement Suiteの統合強化により、AIを活用した高度なカスタマーサービスが可能になる。

SalesforceとGoogleが戦略的パートナーシップを拡大、企業向けAIエージェント構築...

SalesforceとGoogleは2024年2月24日、企業向けAI機能強化を目的とした戦略的パートナーシップの拡大を発表した。AgentforceにGeminiを統合し、マルチモーダルAI機能と200万トークンの文脈理解を実現。さらにService CloudとGoogle Customer Engagement Suiteの統合強化により、AIを活用した高度なカスタマーサービスが可能になる。

GSXが丸紅I-DIGIOと連携しBoxの設定診断サービスを開始、NISTフレームワークに基づく包括的な診断でセキュリティ強化へ

GSXが丸紅I-DIGIOと連携しBoxの設定診断サービスを開始、NISTフレームワークに基づ...

グローバルセキュリティエキスパートは2025年2月25日、丸紅I-DIGIOホールディングスと連携し、国内19,000社で導入されているクラウドストレージ「Box」向けの設定診断サービスを開始した。NIST SP800-171およびNIST SP800-207に基づく診断により、クラウドサービスにおける設定不備に起因する情報漏洩事故の防止を支援する。GSXの豊富な診断実績とBoxの一次代理店である丸紅ITソリューションズの知見を活かした専門的なサービスを展開する。

GSXが丸紅I-DIGIOと連携しBoxの設定診断サービスを開始、NISTフレームワークに基づ...

グローバルセキュリティエキスパートは2025年2月25日、丸紅I-DIGIOホールディングスと連携し、国内19,000社で導入されているクラウドストレージ「Box」向けの設定診断サービスを開始した。NIST SP800-171およびNIST SP800-207に基づく診断により、クラウドサービスにおける設定不備に起因する情報漏洩事故の防止を支援する。GSXの豊富な診断実績とBoxの一次代理店である丸紅ITソリューションズの知見を活かした専門的なサービスを展開する。

アドビがAdobe PhotoshopのiPhone版を無料提供開始、次世代クリエイターの創作活動をモバイルで支援

アドビがAdobe PhotoshopのiPhone版を無料提供開始、次世代クリエイターの創作...

アドビ株式会社は2025年2月26日、Adobe PhotoshopのiPhone版の提供を開始した。レイヤーやマスクなどの代表的な機能に加え、Adobe Fireflyによる生成塗りつぶし機能が無料で提供される。Android版は年内提供予定で、新しいモバイル版&web版プランでは月額1,300円または年額11,000円でプレミアム機能とweb版へのアクセスが可能になる。

アドビがAdobe PhotoshopのiPhone版を無料提供開始、次世代クリエイターの創作...

アドビ株式会社は2025年2月26日、Adobe PhotoshopのiPhone版の提供を開始した。レイヤーやマスクなどの代表的な機能に加え、Adobe Fireflyによる生成塗りつぶし機能が無料で提供される。Android版は年内提供予定で、新しいモバイル版&web版プランでは月額1,300円または年額11,000円でプレミアム機能とweb版へのアクセスが可能になる。

SBIビジネス・ソリューションズの経費BANKがLINE WORKS連携機能を発表、経費精算SaaSで業界初の取り組みへ

SBIビジネス・ソリューションズの経費BANKがLINE WORKS連携機能を発表、経費精算S...

SBIビジネス・ソリューションズのクラウド型経費精算システム「経費BANK」がLINE WORKSとの連携機能オプションを2025年4月17日より提供開始。経費申請や精算のSaaSサービスでは業界初となる。通知確認や承認処理がLINE WORKS上で可能になり、9月以降にはさらなる機能拡充を予定。約52万社が導入するLINE WORKSとの連携で、経費精算業務の効率化を実現する。

SBIビジネス・ソリューションズの経費BANKがLINE WORKS連携機能を発表、経費精算S...

SBIビジネス・ソリューションズのクラウド型経費精算システム「経費BANK」がLINE WORKSとの連携機能オプションを2025年4月17日より提供開始。経費申請や精算のSaaSサービスでは業界初となる。通知確認や承認処理がLINE WORKS上で可能になり、9月以降にはさらなる機能拡充を予定。約52万社が導入するLINE WORKSとの連携で、経費精算業務の効率化を実現する。

LINE WORKSと経費BANKが連携機能オプションを提供開始、経理業務の効率化とペーパーレス化を促進

LINE WORKSと経費BANKが連携機能オプションを提供開始、経理業務の効率化とペーパーレ...

LINE WORKS株式会社とSBIビジネス・ソリューションズ株式会社は、クラウド型経費精算システム「経費BANK」とビジネスチャット「LINE WORKS」の連携機能オプションを2025年4月17日より提供開始する。経費BANKでの処理通知をLINE WORKSで受信可能となり、添付書類の確認や承認処理もLINE WORKS上で完結できる。9月以降には経費申請機能も追加され、さらなる業務効率化を実現する予定だ。

LINE WORKSと経費BANKが連携機能オプションを提供開始、経理業務の効率化とペーパーレ...

LINE WORKS株式会社とSBIビジネス・ソリューションズ株式会社は、クラウド型経費精算システム「経費BANK」とビジネスチャット「LINE WORKS」の連携機能オプションを2025年4月17日より提供開始する。経費BANKでの処理通知をLINE WORKSで受信可能となり、添付書類の確認や承認処理もLINE WORKS上で完結できる。9月以降には経費申請機能も追加され、さらなる業務効率化を実現する予定だ。

ARIが関西最大級のIT展示会に出展、ZiDOMAとcnarisの最新機能をデモンストレーション予定

ARIが関西最大級のIT展示会に出展、ZiDOMAとcnarisの最新機能をデモンストレーション予定

ARアドバンストテクノロジ株式会社が2025年3月13日・14日開催のIT・情シスDXPO大阪'25への出展を発表した。約410社が参加する関西最大級のIT展示会で、ファイルサーバ統合管理ソリューション「ZiDOMA」とクラウド総合活用支援サービス「cnaris」の最新機能を紹介する。両サービスの組み合わせによりファイルサーバのコスト削減とセキュリティ強化を実現し、企業のDX推進を支援する。

ARIが関西最大級のIT展示会に出展、ZiDOMAとcnarisの最新機能をデモンストレーション予定

ARアドバンストテクノロジ株式会社が2025年3月13日・14日開催のIT・情シスDXPO大阪'25への出展を発表した。約410社が参加する関西最大級のIT展示会で、ファイルサーバ統合管理ソリューション「ZiDOMA」とクラウド総合活用支援サービス「cnaris」の最新機能を紹介する。両サービスの組み合わせによりファイルサーバのコスト削減とセキュリティ強化を実現し、企業のDX推進を支援する。

【CVE-2024-1374】Real Estate Property Management System 1.0にSQL injection脆弱性、リモート攻撃のリスクが顕在化

【CVE-2024-1374】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、検索機能に重大な脆弱性が発見された。search.phpファイルのパラメータにSQL injectionの脆弱性が存在し、リモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-1374】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、検索機能に重大な脆弱性が発見された。search.phpファイルのパラメータにSQL injectionの脆弱性が存在し、リモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1356】needyamin Library Card System 1.0にSQLインジェクションの脆弱性、利用者情報漏洩のリスクが浮上

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-1208】code-projects Wazifa System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1197】code-projects Real Estate Property Management System 1.0にSQL注入の脆弱性、データベースへの不正アクセスのリスク

【CVE-2025-1197】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。

【CVE-2025-1197】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。

【CVE-2025-1183】CodeZips Gym Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2025-1183】CodeZips Gym Management System 1...

CodeZips社のGym Management System 1.0において、/dashboard/admin/more-userprofile.phpファイルのlogin_id引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最大6.3(ミディアム)で、リモートからの攻撃が可能な状態。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者はセキュリティパッチの適用やWAFによる防御措置の実施を検討すべき状況だ。

【CVE-2025-1183】CodeZips Gym Management System 1...

CodeZips社のGym Management System 1.0において、/dashboard/admin/more-userprofile.phpファイルのlogin_id引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最大6.3(ミディアム)で、リモートからの攻撃が可能な状態。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者はセキュリティパッチの適用やWAFによる防御措置の実施を検討すべき状況だ。

【CVE-2025-0874】Simple Plugins Car Rental Management 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクで早急な対応が必要に

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済みユーザーによる任意のファイル読み取りが可能に

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性、認証不要で攻撃可能な重大な問題が発覚

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサルの脆弱性、WordPressサイトのセキュリティリスクが深刻化

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサルの脆弱性、制限ディレクトリへの不正アクセスのリスクに対処

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファイル読み取りの脆弱性、管理インターフェースのセキュリティに影響

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画像アップロード機能に深刻な問題

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。