Tech Insights

【CVE-2025-29425】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search Engine Management Systemに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル削除が可能に

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2025-2675】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融データ漏洩のリスクに警戒

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセキュリティ対策の強化へ

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、認証済みユーザーによる情報漏洩の危険性

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2025-2681】PHPGurukul Bank Locker Management Systemに深刻な脆弱性、遠隔からの攻撃が可能に

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2682】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融システムのセキュリティに警鐘

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

ALSIがゼロトラストソリューションを拡充、情報漏洩対策とAI活用型EDR運用支援で企業のセキュリティ強化へ

ALSIがゼロトラストソリューションを拡充、情報漏洩対策とAI活用型EDR運用支援で企業のセキ...

アルプス システム インテグレーション株式会社が、ALSIゼロトラストソリューションのラインナップを拡充し、2025年4月10日より新サービスの提供を開始する。ダークウェブでの情報漏洩調査サービスとAIを活用したEDR運用支援サービスを通じて、企業のセキュリティ対策の現状把握とインシデント対応の強化を支援する。これにより情報システム担当者の運用負担を軽減し、効果的なゼロトラスト環境の構築を実現する。

ALSIがゼロトラストソリューションを拡充、情報漏洩対策とAI活用型EDR運用支援で企業のセキ...

アルプス システム インテグレーション株式会社が、ALSIゼロトラストソリューションのラインナップを拡充し、2025年4月10日より新サービスの提供を開始する。ダークウェブでの情報漏洩調査サービスとAIを活用したEDR運用支援サービスを通じて、企業のセキュリティ対策の現状把握とインシデント対応の強化を支援する。これにより情報システム担当者の運用負担を軽減し、効果的なゼロトラスト環境の構築を実現する。

ManageEngine Log360 Cloudがダークウェブ監視機能を追加、組織の機密情報漏洩対策を強化

ManageEngine Log360 Cloudがダークウェブ監視機能を追加、組織の機密情報...

ゾーホージャパンはManageEngine Log360 Cloudにダークウェブ監視機能を追加した。Constella Intelligenceと提携し、24時間365日体制で組織の機密情報漏洩を検知。クレジットカード番号やメールアドレスなどの個人情報が漏洩した際にリアルタイムでアラートを発報する。Advanced Threat Analyticsオプション(年間8.5万円)で利用可能。

ManageEngine Log360 Cloudがダークウェブ監視機能を追加、組織の機密情報...

ゾーホージャパンはManageEngine Log360 Cloudにダークウェブ監視機能を追加した。Constella Intelligenceと提携し、24時間365日体制で組織の機密情報漏洩を検知。クレジットカード番号やメールアドレスなどの個人情報が漏洩した際にリアルタイムでアラートを発報する。Advanced Threat Analyticsオプション(年間8.5万円)で利用可能。

ソフトクリエイトが企業向けSafe AI Gateway オンプレミスをリリース、オフライン環境での生成AI活用を実現

ソフトクリエイトが企業向けSafe AI Gateway オンプレミスをリリース、オフライン環...

ソフトクリエイトは企業・団体向け生成AIサービス「Safe AI Gateway オンプレミス」を2025年3月25日にリリースした。外部ネットワークとの接続を完全に排除したオフライン環境で動作し、物理サーバー内でのデータ保管により情報漏洩リスクを最小化。APIを通じた社内専用アプリケーションへの組み込みも可能で、金融や医療、製造業など機密性の高いデータを扱う業界での活用を見込んでいる。

ソフトクリエイトが企業向けSafe AI Gateway オンプレミスをリリース、オフライン環...

ソフトクリエイトは企業・団体向け生成AIサービス「Safe AI Gateway オンプレミス」を2025年3月25日にリリースした。外部ネットワークとの接続を完全に排除したオフライン環境で動作し、物理サーバー内でのデータ保管により情報漏洩リスクを最小化。APIを通じた社内専用アプリケーションへの組み込みも可能で、金融や医療、製造業など機密性の高いデータを扱う業界での活用を見込んでいる。

DIGGLE社がHELP YOUチームプランを導入、マーケティング業務の効率化と高度なセキュリティ管理を実現

DIGGLE社がHELP YOUチームプランを導入、マーケティング業務の効率化と高度なセキュリ...

株式会社ニットが運営するオンラインアウトソーシングサービス「HELP YOU」のチームプランをDIGGLE社が導入。採用や人事異動などの定型業務を外部委託し、マーケティングメンバーが企画・分析業務に注力できる環境を実現。さらにBPOセンターの強固なセキュリティ体制により、個人情報や経営データなど機密性の高い業務も安全に処理可能に。

DIGGLE社がHELP YOUチームプランを導入、マーケティング業務の効率化と高度なセキュリ...

株式会社ニットが運営するオンラインアウトソーシングサービス「HELP YOU」のチームプランをDIGGLE社が導入。採用や人事異動などの定型業務を外部委託し、マーケティングメンバーが企画・分析業務に注力できる環境を実現。さらにBPOセンターの強固なセキュリティ体制により、個人情報や経営データなど機密性の高い業務も安全に処理可能に。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に深刻な脆弱性、音声文字起こしデータの削除が可能に

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-2088】PHPGurukul Pre-School Enrollment Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが深刻化

【CVE-2025-2088】PHPGurukul Pre-School Enrollment...

PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。

【CVE-2025-2088】PHPGurukul Pre-School Enrollment...

PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジェクションの脆弱性、管理者権限で機密情報漏洩の危険性

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジ...

WordfenceによってWordPress用プラグインPost SMTPにSQLインジェクションの脆弱性が発見された。バージョン3.1.2以前が影響を受け、管理者以上の権限を持つ攻撃者がcolumnsパラメータを介してデータベースから機密情報を抽出できる可能性がある。CVSSスコアは4.9(MEDIUM)で、適切なエスケープ処理の欠如が原因とされている。

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジ...

WordfenceによってWordPress用プラグインPost SMTPにSQLインジェクションの脆弱性が発見された。バージョン3.1.2以前が影響を受け、管理者以上の権限を持つ攻撃者がcolumnsパラメータを介してデータベースから機密情報を抽出できる可能性がある。CVSSスコアは4.9(MEDIUM)で、適切なエスケープ処理の欠如が原因とされている。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード保護コンテンツが閲覧可能に

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2024-13924】WordPressプラグインStarter Templates by FancyWPにSSRF脆弱性、認証不要で内部サービスへのアクセスが可能に

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2025-1261】HT Mega – Absolute Addons For Elementor 2.8.2以前にXSS脆弱性、Contributorユーザーからの攻撃に注意

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックのリスクが明らかに

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-28857】WordPress Rankchecker.io Integrationにクロスサイトリクエストフォージェリの脆弱性、格納型XSS攻撃のリスクも

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクションの脆弱性、認証なしで機密情報漏洩のリスク

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で機密情報漏洩の脆弱性、範囲外読み取りのリスクに注意

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深刻な脆弱性、管理者権限で悪用の可能性

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発見、管理者機能に深刻な影響

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での深刻な危険性が指摘される

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdragon製品群に広範な影響

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。