Tech Insights

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで対策が必要に

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...

MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...

MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。

NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の異常動作防止とセキュリティ対策を実現

NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...

NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。

NECとNECセキュリティがWindows向け軽量プログラム改ざん検知ソフトを発売、産業機器の...

NECとNECセキュリティは2025年4月1日より、WindowsおよびWindows IoT対応の軽量プログラム改ざん検知ソフトウェアの販売を開始する。高速・低負荷な検査機能により、産業機器などミッションクリティカル用途の機器でも本来の性能を損なうことなくセキュリティ対策を実装可能。工場の生産停止や医療事故などのリスク低減に貢献する。

クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセキュリティ課題解決へ

クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...

クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。

クララがAWSセキュリティ運用サービス「AWS Secure」を提供開始、中小企業のクラウドセ...

クララ株式会社が中小企業向けAWS環境のセキュリティ運用課題を解決する新ソリューション「AWS Secure」の本格提供を開始した。AWSファンデーショナルテクニカルレビューを通過し、Amazon GuardDutyなど6つの主要ツールを統合したサービスを展開する。設定不備や内部ミスによるセキュリティインシデントの防止を支援し、24時間365日の運用体制で中小企業のDX推進を支える。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクションの脆弱性、Subscriber権限で悪用の可能性

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御の脆弱性、出席リストの意図しない閲覧が可能な状態に

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証SSRF脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-27604】XWiki Confluence Migrator Proに認証バイパスの脆弱性、バージョン1.11.7で修正完了

【CVE-2025-27604】XWiki Confluence Migrator Proに認...

GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。

【CVE-2025-27604】XWiki Confluence Migrator Proに認...

GitHubはXWiki Confluence Migrator Proにおいて、認証されていないゲストユーザーがアプリケーションのホームページを介して機密情報を含む可能性のあるパッケージをダウンロードできる脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価されており、バージョン1.11.7未満のすべてのバージョンが影響を受ける。本脆弱性は既にバージョン1.11.7で修正完了している。

【CVE-2024-13359】Product Input Fields for WooCommerceに深刻な脆弱性、未認証での任意ファイルアップロードが可能に

【CVE-2024-13359】Product Input Fields for WooCom...

WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。

【CVE-2024-13359】Product Input Fields for WooCom...

WordPressプラグインProduct Input Fields for WooCommerceのバージョン1.12.0以前に、未認証の攻撃者による任意のファイルアップロードを可能にする脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、特に管理者設定によってはPHPファイルのアップロードも可能となり、リモートコード実行の危険性がある。対策として修正版の1.12.1へのアップデートが推奨されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョン1.2.3以前のユーザーに影響

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な影響の懸念

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、緊急の対応が必要に

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。

【CVE-2025-1871】101newsバージョン1.0にSQLインジェクションの脆弱性、...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを発表した。CVSSスコア9.3のCriticalレベルで、admin/add-subcategory.phpの「category」および「subcategory」パラメータが影響を受ける。攻撃の自動化が可能で特権レベルも不要なため、早急な対応が求められる。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画像閲覧が可能に

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エンティティ参照に関する問題で情報漏洩のリスク

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが判明

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...

WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。

【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...

WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対応が必要に

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...

米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。

Google ChromeのStableチャネルがアップデート、Mac版のGPU脆弱性に緊急対...

米Googleが2025年3月10日にGoogle Chromeの安定版チャネルをアップデートし、Windows/Mac環境向けにv134.0.6998.88/.89、Linux環境向けにv134.0.6998.88を展開。特にMac版のGPU関連の脆弱性CVE-2025-24201については既に悪用報告があり、早急な対応が必要。V8エンジンのType Confusion脆弱性など、計5件のセキュリティ修正も実施。

GoogleがJapan Cybersecurity Initiativeを設立、産学官連携で日本のサイバーセキュリティ体制を強化

GoogleがJapan Cybersecurity Initiativeを設立、産学官連携で...

Googleは2025年3月12日、日本企業のサイバーセキュリティ意識向上と専門人材育成を支援する「Japan Cybersecurity Initiative」を設立した。経済産業省と連携した中小企業向け無償トレーニングプログラムの提供、エンタープライズ向け最新脅威情報の共有、産学官有識者会議の開催など、包括的な支援を実施する。

GoogleがJapan Cybersecurity Initiativeを設立、産学官連携で...

Googleは2025年3月12日、日本企業のサイバーセキュリティ意識向上と専門人材育成を支援する「Japan Cybersecurity Initiative」を設立した。経済産業省と連携した中小企業向け無償トレーニングプログラムの提供、エンタープライズ向け最新脅威情報の共有、産学官有識者会議の開催など、包括的な支援を実施する。

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始、中小企業のセキュリティ対策を効率化

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...

SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。

SecureNaviがAironWorksのAI標的型攻撃メール訓練プラットフォームを販売開始...

SecureNavi株式会社はAironWorks株式会社の標的型攻撃メール訓練プラットフォームの販売を2025年3月13日より開始した。AIによる最新の攻撃手法分析と効率的な訓練環境を提供し、特に中小・スタートアップ企業向けの特別パッケージを用意。既に500社以上の導入実績があり、業務工数を従来比85%以上削減するなど、高い効果を発揮している。

Smart CraftがSAML認証を含むセキュリティ機能を強化、製造現場の安全性と利便性が向上

Smart CraftがSAML認証を含むセキュリティ機能を強化、製造現場の安全性と利便性が向上

株式会社Smart Craftは製造現場DXプラットフォーム「Smart Craft」において、SAML認証やIPアドレス制限、パスワード強度設定、権限カスタマイズなどのセキュリティ強化機能をリリースした。このアップデートにより、導入企業は高度なセキュリティポリシーの運用とアクセス管理が可能となり、不正アクセスの防止や情報漏洩対策、ガバナンス強化を実現できる。

Smart CraftがSAML認証を含むセキュリティ機能を強化、製造現場の安全性と利便性が向上

株式会社Smart Craftは製造現場DXプラットフォーム「Smart Craft」において、SAML認証やIPアドレス制限、パスワード強度設定、権限カスタマイズなどのセキュリティ強化機能をリリースした。このアップデートにより、導入企業は高度なセキュリティポリシーの運用とアクセス管理が可能となり、不正アクセスの防止や情報漏洩対策、ガバナンス強化を実現できる。

アットホームがスマート申込でライフライン・引越し会社と連携、入居手続きの利便性向上へ

アットホームがスマート申込でライフライン・引越し会社と連携、入居手続きの利便性向上へ

アットホーム株式会社が賃貸物件のオンライン入居申込システム「スマート申込」において、DUALホールディングスとサカイ引越センターとの連携を開始。入居申込者の電気・ガス・水道・インターネットなどのライフライン手続きや引越し手続きの利便性が向上。不動産業界のDX推進と顧客満足度向上を目指し、今後も連携企業を拡大する方針。

アットホームがスマート申込でライフライン・引越し会社と連携、入居手続きの利便性向上へ

アットホーム株式会社が賃貸物件のオンライン入居申込システム「スマート申込」において、DUALホールディングスとサカイ引越センターとの連携を開始。入居申込者の電気・ガス・水道・インターネットなどのライフライン手続きや引越し手続きの利便性が向上。不動産業界のDX推進と顧客満足度向上を目指し、今後も連携企業を拡大する方針。

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性、中間者攻撃のリスクが明らかに

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...

Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...

Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。

【CVE-2024-13854】Education Addon For Elementor 1.3.1以前のバージョンに脆弱性、認証済みユーザーによる非公開コンテンツへのアクセスが可能に

【CVE-2024-13854】Education Addon For Elementor 1...

WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。

【CVE-2024-13854】Education Addon For Elementor 1...

WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。

【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQLインジェクションの脆弱性、データベース情報漏洩のリスクに警戒

【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...

WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。

【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...

WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。

【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8以前に脆弱性、個人情報漏洩のリスクが発生

【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...

WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...

WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2024-13481】WordPress用プラグインLTL Freight Quotesに深刻な脆弱性、データベース情報漏洩のリスクが浮上

【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。

【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに任意のショートコード実行の脆弱性が発見、早急な対応が必要に

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...

WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...

WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。

【CVE-2024-13846】Indeed Ultimate Learning Pro 3.9以前にSQLインジェクションの脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13846】Indeed Ultimate Learning Pro 3....

WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。

【CVE-2024-13846】Indeed Ultimate Learning Pro 3....

WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が露出する脆弱性が発見、他の脆弱性と組み合わさることで深刻な被害の可能性も

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロスサイトスクリプティングの脆弱性、投稿者権限での攻撃が可能に

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...

WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...

WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性、認証不要で悪用可能な状態に

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。