Tech Insights

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報流出の可能性

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

FFRIセキュリティがyarai Home and Business Edition 1.5をリリース、クラウド連携機能とディープマクロ分析機能の追加で検出精度が向上

FFRIセキュリティがyarai Home and Business Edition 1.5を...

FFRIセキュリティは2025年3月11日、個人・小規模事業者向け次世代エンドポイントセキュリティ「FFRI yarai Home and Business Edition Version 1.5」をリリースした。クラウド連携機能やディープマクロ分析機能の追加により検出精度が向上し、不正停止検出機能の実装でセキュリティ製品の強制停止も防止。Windows 11 Version 24H2のサポートも開始され、Microsoft Defenderとの組み合わせでより強固なセキュリティ環境を実現する。

FFRIセキュリティがyarai Home and Business Edition 1.5を...

FFRIセキュリティは2025年3月11日、個人・小規模事業者向け次世代エンドポイントセキュリティ「FFRI yarai Home and Business Edition Version 1.5」をリリースした。クラウド連携機能やディープマクロ分析機能の追加により検出精度が向上し、不正停止検出機能の実装でセキュリティ製品の強制停止も防止。Windows 11 Version 24H2のサポートも開始され、Microsoft Defenderとの組み合わせでより強固なセキュリティ環境を実現する。

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対策を強化

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対...

株式会社バッファローは2025年3月12日より、法人向けNAS「TeraStationシリーズ」において不変スナップショット機能の提供を開始した。この機能により、作成されたスナップショットを一定期間削除・変更できないよう保護することが可能となり、管理者権限が乗っ取られた場合でもバックアップデータを守ることができる。対応機種は主要なTeraStationモデルで、ファームウェアアップデートにより無料で利用可能だ。

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対...

株式会社バッファローは2025年3月12日より、法人向けNAS「TeraStationシリーズ」において不変スナップショット機能の提供を開始した。この機能により、作成されたスナップショットを一定期間削除・変更できないよう保護することが可能となり、管理者権限が乗っ取られた場合でもバックアップデータを守ることができる。対応機種は主要なTeraStationモデルで、ファームウェアアップデートにより無料で利用可能だ。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆弱性、認証済み攻撃者による悪用の可能性

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権昇格の脆弱性、管理者アカウント乗っ取りのリスク

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの深刻化を警告

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの...

Netskope Threat Labsの調査により、金融サービス業界における個人向けアプリと生成AIの使用状況が明らかになった。従業員の13%が機密データを個人向けクラウドアプリにアップロードし、95%の組織が生成AIアプリを使用している。また、毎月約1.5%のユーザーがフィッシングやマルウェアの危険にさらされており、包括的なセキュリティ対策の必要性が指摘されている。

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの...

Netskope Threat Labsの調査により、金融サービス業界における個人向けアプリと生成AIの使用状況が明らかになった。従業員の13%が機密データを個人向けクラウドアプリにアップロードし、95%の組織が生成AIアプリを使用している。また、毎月約1.5%のユーザーがフィッシングやマルウェアの危険にさらされており、包括的なセキュリティ対策の必要性が指摘されている。

GMOデジタルラボがSECURITY ACTION二つ星を宣言、ISMS認証と併せて情報セキュリティ体制を強化

GMOデジタルラボがSECURITY ACTION二つ星を宣言、ISMS認証と併せて情報セキュ...

GMOデジタルラボは情報処理推進機構(IPA)が運用する中小企業向け情報セキュリティ対策の自己宣言制度「SECURITY ACTION」において二つ星を宣言した。2023年に取得したISMS認証(ISO/IEC 27001およびISO/IEC 27017)を基盤に、内部統制の強化、運用ルールの充実、最新技術の導入、社内啓発活動の推進、BCP策定など、包括的なセキュリティ対策を実施している。

GMOデジタルラボがSECURITY ACTION二つ星を宣言、ISMS認証と併せて情報セキュ...

GMOデジタルラボは情報処理推進機構(IPA)が運用する中小企業向け情報セキュリティ対策の自己宣言制度「SECURITY ACTION」において二つ星を宣言した。2023年に取得したISMS認証(ISO/IEC 27001およびISO/IEC 27017)を基盤に、内部統制の強化、運用ルールの充実、最新技術の導入、社内啓発活動の推進、BCP策定など、包括的なセキュリティ対策を実施している。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.3.7以下で発見

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

TarlogicがESP32マイクロコントローラーの隠し機能を発見、IoTデバイスのセキュリティリスクが深刻化

TarlogicがESP32マイクロコントローラーの隠し機能を発見、IoTデバイスのセキュリテ...

スペインのセキュリティ企業Tarlogic Securityが、世界中で10億個以上出荷されているESP32マイクロコントローラーに隠し機能を発見。メーカー非公開のHCIコマンドを利用した任意の改変やなりすまし攻撃が可能となり、個人情報窃取やデバイス改ざんのリスクが指摘された。対策としてBSAMメソドロジーとBluetoothUSBツールを開発。

TarlogicがESP32マイクロコントローラーの隠し機能を発見、IoTデバイスのセキュリテ...

スペインのセキュリティ企業Tarlogic Securityが、世界中で10億個以上出荷されているESP32マイクロコントローラーに隠し機能を発見。メーカー非公開のHCIコマンドを利用した任意の改変やなりすまし攻撃が可能となり、個人情報窃取やデバイス改ざんのリスクが指摘された。対策としてBSAMメソドロジーとBluetoothUSBツールを開発。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ機能バイパスの脆弱性、深刻度は中程度と評価

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証不要で任意のショートコード実行が可能に

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱性、未認証攻撃者による任意スクリプト実行が可能に

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮き彫りに

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、システム全体のセキュリティに影響の可能性

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、シ...

Microsoftは2025年2月11日、Microsoft PC Managerにおいて特権昇格の脆弱性(CVE-2025-21322)を公開した。この脆弱性は、攻撃者がローカルアクセス権限を持っている場合に悪用される可能性があり、CVSSスコアは7.8(High)と評価されている。影響を受けるバージョンは1.0.0から3.15.4.0未満で、早急なアップデートが推奨される。

【CVE-2025-21322】Microsoft PC Managerに特権昇格の脆弱性、シ...

Microsoftは2025年2月11日、Microsoft PC Managerにおいて特権昇格の脆弱性(CVE-2025-21322)を公開した。この脆弱性は、攻撃者がローカルアクセス権限を持っている場合に悪用される可能性があり、CVSSスコアは7.8(High)と評価されている。影響を受けるバージョンは1.0.0から3.15.4.0未満で、早急なアップデートが推奨される。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョン1.1.21で修正パッチを適用

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPressとCMSのセキュリティ運用負荷を大幅に軽減

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

プライム・ストラテジーがKUSANAGI Security Editionを発表、WordPr...

プライム・ストラテジー株式会社が高速CMS環境「KUSANAGI」シリーズの新製品としてKUSANAGI Security EditionをGoogle Cloudで提供開始。OS・ミドルウェアの自動アップデートによる脆弱性対策、マルウェア対策機能、セキュリティ監査機能を実装し、企業のセキュリティ運用を効率化。さらにKUSANAGI Appで複数サーバの一元管理も実現。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windows全バージョンに影響

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格の脆弱性、未認証攻撃者による管理者権限取得のリスク

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2025-1355】needyamin社のLibrary Card System 1.0に深刻な脆弱性、無制限ファイルアップロードの危険性が浮上

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2025-1355】needyamin社のLibrary Card System 1...

Library Card System 1.0のsignup.phpファイルにおいて、Add Picture機能での無制限ファイルアップロードを可能にする重大な脆弱性が発見された。CVE-2025-1355として識別されるこの脆弱性は、CVSS 3.1で7.3(High)と評価され、リモートからの攻撃が可能な状態にある。開発元への報告も行われたが現時点で対応はなく、早急な対策が必要とされている。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

TXOne NetworksがUSBメモリ型スキャンツールを発表、中堅・中小企業のセキュリティ対策強化に貢献

TXOne NetworksがUSBメモリ型スキャンツールを発表、中堅・中小企業のセキュリティ...

TXOne Networks Japan合同会社は、制御機器やレガシーOS環境に対応したUSBメモリ型マルウェアスキャンツール「TXOne Portable Inspector Lite Edition」を2025年3月12日より提供開始する。インストール不要でオフライン環境のセキュリティ対策を実現し、付属の管理プログラムにより複数デバイスの一括管理や運用効率化が可能だ。中堅・中小企業向けに開発された本製品は、高度なスキャン機能と優れたパフォーマンスを特徴としている。

TXOne NetworksがUSBメモリ型スキャンツールを発表、中堅・中小企業のセキュリティ...

TXOne Networks Japan合同会社は、制御機器やレガシーOS環境に対応したUSBメモリ型マルウェアスキャンツール「TXOne Portable Inspector Lite Edition」を2025年3月12日より提供開始する。インストール不要でオフライン環境のセキュリティ対策を実現し、付属の管理プログラムにより複数デバイスの一括管理や運用効率化が可能だ。中堅・中小企業向けに開発された本製品は、高度なスキャン機能と優れたパフォーマンスを特徴としている。

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバージョンに任意のファイルアップロードの脆弱性、マルチサイト環境で特に注意

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバー...

WordPressプラグインZarinpal Paid Downloadのバージョン2.3以前に、管理者権限を持つユーザーが任意のファイルをアップロードできる脆弱性が発見された。特にマルチサイト環境において深刻な問題となり得る本脆弱性は、CVE-2024-13544として識別され、CVSS 3.1で中程度の深刻度と評価されている。不適切なファイルバリデーションが原因とされ、早急な対応が推奨される。

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバー...

WordPressプラグインZarinpal Paid Downloadのバージョン2.3以前に、管理者権限を持つユーザーが任意のファイルをアップロードできる脆弱性が発見された。特にマルチサイト環境において深刻な問題となり得る本脆弱性は、CVE-2024-13544として識別され、CVSS 3.1で中程度の深刻度と評価されている。不適切なファイルバリデーションが原因とされ、早急な対応が推奨される。

BBSecがエージェント型Web改ざん検知サービスを開発、ECサイトのセキュリティ強化に大きく貢献

BBSecがエージェント型Web改ざん検知サービスを開発、ECサイトのセキュリティ強化に大きく貢献

株式会社ブロードバンドセキュリティは、韓国のSecurity Strategy Research社の技術を採用した新しいエージェント型Web改ざん検知サービス「Cracker Probing-Eyes® Detect Plus」を2025年4月より提供開始する。MetiEyeの導入により、新種・変種のウェブシェルをリアルタイムで検知し、ECサイトの安全性を大幅に向上させることが可能となる。

BBSecがエージェント型Web改ざん検知サービスを開発、ECサイトのセキュリティ強化に大きく貢献

株式会社ブロードバンドセキュリティは、韓国のSecurity Strategy Research社の技術を採用した新しいエージェント型Web改ざん検知サービス「Cracker Probing-Eyes® Detect Plus」を2025年4月より提供開始する。MetiEyeの導入により、新種・変種のウェブシェルをリアルタイムで検知し、ECサイトの安全性を大幅に向上させることが可能となる。

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモートコード実行の危険性が判明

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモート...

Microsoftが2025年2月11日に公開した情報によると、複数のOffice製品にリモートコード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterpriseなど広範な製品に影響が及ぶ。特権は不要だがユーザーの操作を必要とする本脆弱性への対策として、早急なパッチ適用が推奨されている。

【CVE-2025-21387】Microsoft Office製品群に深刻な脆弱性、リモート...

Microsoftが2025年2月11日に公開した情報によると、複数のOffice製品にリモートコード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価され、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterpriseなど広範な製品に影響が及ぶ。特権は不要だがユーザーの操作を必要とする本脆弱性への対策として、早急なパッチ適用が推奨されている。

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆弱性、認証不要で悪意のあるスクリプト実行が可能に

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆...

WordPressのECサイト構築プラグインWelcart e-Commerceにおいて、バージョン2.11.9以前に深刻な脆弱性が発見された。この脆弱性は認証なしで攻撃可能な格納型XSSであり、CVSSスコア7.2のハイリスクと評価されている。nameパラメーターを介して悪意のあるスクリプトを注入でき、そのページにアクセスする全てのユーザーに影響を及ぼす可能性がある。

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆...

WordPressのECサイト構築プラグインWelcart e-Commerceにおいて、バージョン2.11.9以前に深刻な脆弱性が発見された。この脆弱性は認証なしで攻撃可能な格納型XSSであり、CVSSスコア7.2のハイリスクと評価されている。nameパラメーターを介して悪意のあるスクリプトを注入でき、そのページにアクセスする全てのユーザーに影響を及ぼす可能性がある。

テリロジーがSumo LogicとSKYSEA Client Viewを連携した内部不正対策MSSの提供を開始、アイティーエムとの共創で実現

テリロジーがSumo LogicとSKYSEA Client Viewを連携した内部不正対策M...

テリロジーは2025年2月12日、Sumo Logic社の次世代クラウドSIEMとSky株式会社のSKYSEA Client Viewを連携させた内部不正対策ソリューションを発表した。アイティーエム株式会社との共創により、疑わしいユーザーの特定から調査報告、月次レポートまでをカバーするマネージドセキュリティサービスとして展開。導入済みのSKYSEA Client Viewを活用することで、低コストでの内部不正対策を実現する。

テリロジーがSumo LogicとSKYSEA Client Viewを連携した内部不正対策M...

テリロジーは2025年2月12日、Sumo Logic社の次世代クラウドSIEMとSky株式会社のSKYSEA Client Viewを連携させた内部不正対策ソリューションを発表した。アイティーエム株式会社との共創により、疑わしいユーザーの特定から調査報告、月次レポートまでをカバーするマネージドセキュリティサービスとして展開。導入済みのSKYSEA Client Viewを活用することで、低コストでの内部不正対策を実現する。

パーソルクロステクノロジーがWSUS移行支援ソリューションを発表、Azure Update ManagerやIntuneへの移行で効率的なパッチ管理を実現

パーソルクロステクノロジーがWSUS移行支援ソリューションを発表、Azure Update M...

パーソルクロステクノロジー株式会社が、Microsoft社によるWSUSの非推奨化に対応する「パッチ管理効率化ソリューション」を2025年2月13日より提供開始すると発表した。Azure Update ManagerやIntuneを活用した新環境への移行支援により、より柔軟かつ安全なセキュリティパッチ管理システムの構築が可能となる。クラウドサービスのスペシャリストとして10年以上の実績を持つ同社が、企業のスムーズな移行をサポートする。

パーソルクロステクノロジーがWSUS移行支援ソリューションを発表、Azure Update M...

パーソルクロステクノロジー株式会社が、Microsoft社によるWSUSの非推奨化に対応する「パッチ管理効率化ソリューション」を2025年2月13日より提供開始すると発表した。Azure Update ManagerやIntuneを活用した新環境への移行支援により、より柔軟かつ安全なセキュリティパッチ管理システムの構築が可能となる。クラウドサービスのスペシャリストとして10年以上の実績を持つ同社が、企業のスムーズな移行をサポートする。