Tech Insights
【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...
HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。
【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...
HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。
【CVE-2025-28867】WordPressプラグインFrontpage categor...
WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。
【CVE-2025-28867】WordPressプラグインFrontpage categor...
WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。
【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...
WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。
【CVE-2025-28879】WordPressプラグインBee Layer Sliderに...
WordPressプラグインのBee Layer Sliderにおいて、バージョン1.1以前に深刻なXSS脆弱性が発見された。Patchstack AllianceのNabil Irawan氏によって発見されたこの脆弱性は、CVE-2025-28879として報告され、CVSS v3.1で6.5のスコアを記録。CISAの分析では攻撃の自動化は困難とされているものの、情報漏洩やシステムの改ざんのリスクが指摘されている。
【CVE-2025-26703】ZTE GoldenDBに特権管理の脆弱性、バージョン6.1....
ZTE Corporationのデータベース製品GoldenDBにおいて、特権管理の脆弱性(CVE-2025-26703)が発見された。この脆弱性は不適切な特権管理に起因し、攻撃者による特権昇格を引き起こす可能性がある。影響を受けるバージョンは6.1.03から6.1.03.04までで、CVSS v3.1スコアは4.3(ミディアム)と評価されている。早急なセキュリティパッチの適用が推奨される。
【CVE-2025-26703】ZTE GoldenDBに特権管理の脆弱性、バージョン6.1....
ZTE Corporationのデータベース製品GoldenDBにおいて、特権管理の脆弱性(CVE-2025-26703)が発見された。この脆弱性は不適切な特権管理に起因し、攻撃者による特権昇格を引き起こす可能性がある。影響を受けるバージョンは6.1.03から6.1.03.04までで、CVSS v3.1スコアは4.3(ミディアム)と評価されている。早急なセキュリティパッチの適用が推奨される。
【CVE-2025-24993】Windows NTFSに深刻な脆弱性、広範なバージョンで対策...
Microsoftは2025年3月11日、Windows NTFSにHeap-based Buffer Overflowの脆弱性(CVE-2025-24993)を確認した。この脆弱性はCVSS v3.1で7.8(High)のスコアが付与され、Windows 10からWindows 11の最新版、Windows Server 2008 SP2からWindows Server 2025まで広範に影響。権限のない攻撃者がローカルでコードを実行できる可能性があり、早急な対策が必要とされている。
【CVE-2025-24993】Windows NTFSに深刻な脆弱性、広範なバージョンで対策...
Microsoftは2025年3月11日、Windows NTFSにHeap-based Buffer Overflowの脆弱性(CVE-2025-24993)を確認した。この脆弱性はCVSS v3.1で7.8(High)のスコアが付与され、Windows 10からWindows 11の最新版、Windows Server 2008 SP2からWindows Server 2025まで広範に影響。権限のない攻撃者がローカルでコードを実行できる可能性があり、早急な対策が必要とされている。
【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...
WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。
【CVE-2024-1508】WP Crowdfunding 2.1.13に認証機能の欠陥、投...
WordPressプラグインWP Crowdfundingの2.1.13以前のバージョンに認証機能の欠陥が存在することが判明した。この脆弱性により、購読者以上の権限を持つユーザーがサイトの投稿コンテンツを不正にダウンロードできる問題が発生している。特にWooCommerceがインストールされている環境では影響が大きく、早急な対応が求められる。CVSSスコアは5.3(中程度)と評価されている。
【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...
WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。
【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...
WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。
リモラボが生成AI活用メディアを開設、誰でも気軽に学べる実践的なAI活用法の提供で企業の生産性...
株式会社リモラボが生成AIの実用的な活用法を学べるメディア「小森優 / 生成AI×仕事術の研究」を2025年3月に公開。日本のAI利用率向上と企業の生産性向上を目指し、2,000名以上の女性への生成AI講座実績を持つ小森優取締役が監修。初心者向けの身近な活用法から社内での導入・浸透方法まで、実践的なコンテンツを提供している。
リモラボが生成AI活用メディアを開設、誰でも気軽に学べる実践的なAI活用法の提供で企業の生産性...
株式会社リモラボが生成AIの実用的な活用法を学べるメディア「小森優 / 生成AI×仕事術の研究」を2025年3月に公開。日本のAI利用率向上と企業の生産性向上を目指し、2,000名以上の女性への生成AI講座実績を持つ小森優取締役が監修。初心者向けの身近な活用法から社内での導入・浸透方法まで、実践的なコンテンツを提供している。
フォーイットが生成AI利用実態調査を実施、30代の利用率が最多で20代は慎重な姿勢を示す結果に
株式会社フォーイットが全国20代~60代の男女500人を対象に実施した生成AI利用実態調査で、全体利用率が22.6%となった。30代の利用が最も多い一方、デジタルネイティブの20代は43.0%が利用予定なしと回答。男女差も顕著で、男性が積極的に活用する中、女性は慎重な姿勢を示している。世帯年収による利用率の差も明確で、高所得層ほど活用が進んでいる。
フォーイットが生成AI利用実態調査を実施、30代の利用率が最多で20代は慎重な姿勢を示す結果に
株式会社フォーイットが全国20代~60代の男女500人を対象に実施した生成AI利用実態調査で、全体利用率が22.6%となった。30代の利用が最も多い一方、デジタルネイティブの20代は43.0%が利用予定なしと回答。男女差も顕著で、男性が積極的に活用する中、女性は慎重な姿勢を示している。世帯年収による利用率の差も明確で、高所得層ほど活用が進んでいる。
PeopleXがPeopleWorkの全アプリケーションをモバイル対応化、デスクレス環境での業...
エンプロイーサクセス事業を展開するPeopleXは、HRプラットフォーム「PeopleWork」の全アプリケーションをモバイル対応化した。介護施設や宿泊施設などPCを常時使用しない環境からの要望に応え、スマートフォンやタブレットでの直感的な操作を実現。オンボーディングや業務遂行、能力開発など、幅広い機能をモバイルで利用可能に。
PeopleXがPeopleWorkの全アプリケーションをモバイル対応化、デスクレス環境での業...
エンプロイーサクセス事業を展開するPeopleXは、HRプラットフォーム「PeopleWork」の全アプリケーションをモバイル対応化した。介護施設や宿泊施設などPCを常時使用しない環境からの要望に応え、スマートフォンやタブレットでの直感的な操作を実現。オンボーディングや業務遂行、能力開発など、幅広い機能をモバイルで利用可能に。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...
MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。
GoogleがGmailのデータ損失防止機能を強化、分類ラベルによるリアルタイム保護機能の提供開始
GoogleはGmailのウェブ版において、データ分類ラベルに基づくデータ損失防止(DLP)ルールをリアルタイムで適用する機能のベータ版を公開。メッセージの分類やブロック、隔離などの処理が即座に実行され、送信前に問題点と対処方法を確認可能に。管理者は特定の分類ラベルに基づいて未承認ユーザーへの誤送信を防止するルールを設定できる。
GoogleがGmailのデータ損失防止機能を強化、分類ラベルによるリアルタイム保護機能の提供開始
GoogleはGmailのウェブ版において、データ分類ラベルに基づくデータ損失防止(DLP)ルールをリアルタイムで適用する機能のベータ版を公開。メッセージの分類やブロック、隔離などの処理が即座に実行され、送信前に問題点と対処方法を確認可能に。管理者は特定の分類ラベルに基づいて未承認ユーザーへの誤送信を防止するルールを設定できる。
GoogleがGmail DLPに機密コンテンツスニペット機能を追加、セキュリティ管理者の業務...
GoogleはGmailのデータ損失防止(DLP)機能に機密コンテンツスニペットを表示する機能を追加した。2025年3月18日より展開を開始し、管理者はセキュリティ調査ツールでDLPルールに該当したコンテンツの詳細を確認できるようになる。本機能はGoogle Workspace各エディションで利用可能で、セキュリティリスクの特定や誤検知判定の効率化に貢献する。
GoogleがGmail DLPに機密コンテンツスニペット機能を追加、セキュリティ管理者の業務...
GoogleはGmailのデータ損失防止(DLP)機能に機密コンテンツスニペットを表示する機能を追加した。2025年3月18日より展開を開始し、管理者はセキュリティ調査ツールでDLPルールに該当したコンテンツの詳細を確認できるようになる。本機能はGoogle Workspace各エディションで利用可能で、セキュリティリスクの特定や誤検知判定の効率化に貢献する。
Cloudflareが統合型Security Posture Managementを発表、企業...
Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。
Cloudflareが統合型Security Posture Managementを発表、企業...
Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。
【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...
MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。
【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...
MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。
NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...
NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。
NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...
NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。
クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...
クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。
クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...
クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。
【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...
WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。
【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...
WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。
【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...
教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。
【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...
教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。
【CVE-2024-13904】Platform.ly for WooCommerceに未認証...
WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13904】Platform.ly for WooCommerceに未認証...
WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...
StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。
【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...
StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。
【CVE-2025-27604】XWiki Confluence Migrator Proに認...
GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。
【CVE-2025-27604】XWiki Confluence Migrator Proに認...
GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。
【CVE-2024-13359】Product Input Fields for WooCom...
WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。
【CVE-2024-13359】Product Input Fields for WooCom...
WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。
【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...
WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。
【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...
WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。
【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。
【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...
GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。
【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...
GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。
【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...
IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。
【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...
IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...
米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。
Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...
米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。