Tech Insights
PeopleXがPeopleWorkの全アプリケーションをモバイル対応化、デスクレス環境での業...
エンプロイーサクセス事業を展開するPeopleXは、HRプラットフォーム「PeopleWork」の全アプリケーションをモバイル対応化した。介護施設や宿泊施設などPCを常時使用しない環境からの要望に応え、スマートフォンやタブレットでの直感的な操作を実現。オンボーディングや業務遂行、能力開発など、幅広い機能をモバイルで利用可能に。
PeopleXがPeopleWorkの全アプリケーションをモバイル対応化、デスクレス環境での業...
エンプロイーサクセス事業を展開するPeopleXは、HRプラットフォーム「PeopleWork」の全アプリケーションをモバイル対応化した。介護施設や宿泊施設などPCを常時使用しない環境からの要望に応え、スマートフォンやタブレットでの直感的な操作を実現。オンボーディングや業務遂行、能力開発など、幅広い機能をモバイルで利用可能に。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
GoogleがGmailのデータ損失防止機能を強化、分類ラベルによるリアルタイム保護機能の提供開始
GoogleはGmailのウェブ版において、データ分類ラベルに基づくデータ損失防止(DLP)ルールをリアルタイムで適用する機能のベータ版を公開。メッセージの分類やブロック、隔離などの処理が即座に実行され、送信前に問題点と対処方法を確認可能に。管理者は特定の分類ラベルに基づいて未承認ユーザーへの誤送信を防止するルールを設定できる。
GoogleがGmailのデータ損失防止機能を強化、分類ラベルによるリアルタイム保護機能の提供開始
GoogleはGmailのウェブ版において、データ分類ラベルに基づくデータ損失防止(DLP)ルールをリアルタイムで適用する機能のベータ版を公開。メッセージの分類やブロック、隔離などの処理が即座に実行され、送信前に問題点と対処方法を確認可能に。管理者は特定の分類ラベルに基づいて未承認ユーザーへの誤送信を防止するルールを設定できる。
GoogleがGmail DLPに機密コンテンツスニペット機能を追加、セキュリティ管理者の業務...
GoogleはGmailのデータ損失防止(DLP)機能に機密コンテンツスニペットを表示する機能を追加した。2025年3月18日より展開を開始し、管理者はセキュリティ調査ツールでDLPルールに該当したコンテンツの詳細を確認できるようになる。本機能はGoogle Workspace各エディションで利用可能で、セキュリティリスクの特定や誤検知判定の効率化に貢献する。
GoogleがGmail DLPに機密コンテンツスニペット機能を追加、セキュリティ管理者の業務...
GoogleはGmailのデータ損失防止(DLP)機能に機密コンテンツスニペットを表示する機能を追加した。2025年3月18日より展開を開始し、管理者はセキュリティ調査ツールでDLPルールに該当したコンテンツの詳細を確認できるようになる。本機能はGoogle Workspace各エディションで利用可能で、セキュリティリスクの特定や誤検知判定の効率化に貢献する。
Cloudflareが統合型Security Posture Managementを発表、企業...
Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。
Cloudflareが統合型Security Posture Managementを発表、企業...
Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。
【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...
MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。
【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...
MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。
NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...
NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。
NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...
NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。
クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...
クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。
クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...
クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。
【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...
WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。
【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...
WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。
【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...
教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。
【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...
教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。
【CVE-2024-13904】Platform.ly for WooCommerceに未認証...
WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13904】Platform.ly for WooCommerceに未認証...
WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...
StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。
【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...
StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。
【CVE-2025-27604】XWiki Confluence Migrator Proに認...
GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。
【CVE-2025-27604】XWiki Confluence Migrator Proに認...
GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。
【CVE-2024-13359】Product Input Fields for WooCom...
WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。
【CVE-2024-13359】Product Input Fields for WooCom...
WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。
【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...
WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。
【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...
WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。
【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。
【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...
GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。
【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...
GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。
【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...
IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。
【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...
IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...
米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。
Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...
米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。
GoogleがJapan Cybersecurity Initiativeを設立、産学官連携で...
Googleは2025年3月12日、日本企業のサイバーセキュリティ意識向上と専門人材育成を支援する「Japan Cybersecurity Initiative」を設立した。経済産業省と連携した中小企業向け無償トレーニングプログラムの提供、エンタープライズ向け最新脅威情報の共有、産学官有識者会議の開催など、包括的な支援を実施する。
GoogleがJapan Cybersecurity Initiativeを設立、産学官連携で...
Googleは2025年3月12日、日本企業のサイバーセキュリティ意識向上と専門人材育成を支援する「Japan Cybersecurity Initiative」を設立した。経済産業省と連携した中小企業向け無償トレーニングプログラムの提供、エンタープライズ向け最新脅威情報の共有、産学官有識者会議の開催など、包括的な支援を実施する。
SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...
SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。
SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...
SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。
Smart CraftがSAML認証を含むセキュリティ機能を強化、製造現場の安全性と利便性が向上
株式会社Smart Craftは製造現場DXプラットフォーム「Smart Craft」において、SAML認証やIPアドレス制限、パスワード強度設定、権限カスタマイズなどのセキュリティ強化機能をリリースした。このアップデートにより、導入企業は高度なセキュリティポリシーの運用とアクセス管理が可能となり、不正アクセスの防止や情報漏洩対策、ガバナンス強化を実現できる。
Smart CraftがSAML認証を含むセキュリティ機能を強化、製造現場の安全性と利便性が向上
株式会社Smart Craftは製造現場DXプラットフォーム「Smart Craft」において、SAML認証やIPアドレス制限、パスワード強度設定、権限カスタマイズなどのセキュリティ強化機能をリリースした。このアップデートにより、導入企業は高度なセキュリティポリシーの運用とアクセス管理が可能となり、不正アクセスの防止や情報漏洩対策、ガバナンス強化を実現できる。
アットホームがスマート申込でライフライン・引越し会社と連携、入居手続きの利便性向上へ
アットホーム株式会社が賃貸物件のオンライン入居申込システム「スマート申込」において、DUALホールディングスとサカイ引越センターとの連携を開始。入居申込者の電気・ガス・水道・インターネットなどのライフライン手続きや引越し手続きの利便性が向上。不動産業界のDX推進と顧客満足度向上を目指し、今後も連携企業を拡大する方針。
アットホームがスマート申込でライフライン・引越し会社と連携、入居手続きの利便性向上へ
アットホーム株式会社が賃貸物件のオンライン入居申込システム「スマート申込」において、DUALホールディングスとサカイ引越センターとの連携を開始。入居申込者の電気・ガス・水道・インターネットなどのライフライン手続きや引越し手続きの利便性が向上。不動産業界のDX推進と顧客満足度向上を目指し、今後も連携企業を拡大する方針。
【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...
Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。
【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...
Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...
WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。
【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...
WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。