Tech Insights

RSAがエンタープライズ向けパスワードレスプラットフォームを発表、RSAC2025で新技術も公開

RSAがエンタープライズ向けパスワードレスプラットフォームを発表、RSAC2025で新技術も公開

RSA Securityは2025年5月26日、エンタープライズ対応のパスワードレスプラットフォームを発表した。AIを活用した次世代のアイデンティティ攻撃対策技術もRSAC2025で公開。Japan IT Week 情報セキュリティEXPO 名古屋展、Interop Tokyo 2025にも出展予定。クラウド、オンプレミス環境に対応し、マルウェア対策など高度なセキュリティ機能を提供する。

RSAがエンタープライズ向けパスワードレスプラットフォームを発表、RSAC2025で新技術も公開

RSA Securityは2025年5月26日、エンタープライズ対応のパスワードレスプラットフォームを発表した。AIを活用した次世代のアイデンティティ攻撃対策技術もRSAC2025で公開。Japan IT Week 情報セキュリティEXPO 名古屋展、Interop Tokyo 2025にも出展予定。クラウド、オンプレミス環境に対応し、マルウェア対策など高度なセキュリティ機能を提供する。

Adobe Photoshop Desktopの整数型アンダーフロー脆弱性CVE-2025-30324が公開、バージョン26.5以前が影響

Adobe Photoshop Desktopの整数型アンダーフロー脆弱性CVE-2025-3...

Adobe Systems Incorporatedは2025年5月13日、Photoshop Desktopバージョン26.5、25.12.2以前における整数型アンダーフロー(CWE-191)の脆弱性CVE-2025-30324を発表した。悪意のあるファイルを開くと任意のコード実行につながる可能性があり、CVSSスコアは7.8(高リスク)と評価されている。ユーザーは速やかに最新バージョンへのアップデートを行う必要がある。

Adobe Photoshop Desktopの整数型アンダーフロー脆弱性CVE-2025-3...

Adobe Systems Incorporatedは2025年5月13日、Photoshop Desktopバージョン26.5、25.12.2以前における整数型アンダーフロー(CWE-191)の脆弱性CVE-2025-30324を発表した。悪意のあるファイルを開くと任意のコード実行につながる可能性があり、CVSSスコアは7.8(高リスク)と評価されている。ユーザーは速やかに最新バージョンへのアップデートを行う必要がある。

Adobe Photoshop Desktopの脆弱性CVE-2025-30325が公開、整数オーバーフローによる任意コード実行の可能性

Adobe Photoshop Desktopの脆弱性CVE-2025-30325が公開、整数...

Adobe Systems Incorporatedは2025年5月13日、Photoshop Desktopバージョン26.5、25.12.2以前における整数オーバーフローの脆弱性CVE-2025-30325を発表した。悪意のあるファイルを開くと任意のコード実行につながる可能性があり、CVSSスコアは7.8、深刻度はHIGHと評価されている。ユーザーは速やかにアップデートを適用する必要がある。

Adobe Photoshop Desktopの脆弱性CVE-2025-30325が公開、整数...

Adobe Systems Incorporatedは2025年5月13日、Photoshop Desktopバージョン26.5、25.12.2以前における整数オーバーフローの脆弱性CVE-2025-30325を発表した。悪意のあるファイルを開くと任意のコード実行につながる可能性があり、CVSSスコアは7.8、深刻度はHIGHと評価されている。ユーザーは速やかにアップデートを適用する必要がある。

D-Link DAP-2695の脆弱性CVE-2025-4860公開、クロスサイトスクリプティングへの対策が必要

D-Link DAP-2695の脆弱性CVE-2025-4860公開、クロスサイトスクリプティ...

2025年5月18日、VulDBはD-Link DAP-2695バージョン120b36r137_ALL_en_20210528における深刻なセキュリティ脆弱性CVE-2025-4860を公開した。Static Pool Settings Pageのadv_dhcps.phpファイルに存在するクロスサイトスクリプティング(XSS)脆弱性で、f_mac引数の操作によるリモート攻撃が可能だ。既に公開されているため、早急な対策が必要である。サポート終了製品であるため、代替製品への移行が推奨される。

D-Link DAP-2695の脆弱性CVE-2025-4860公開、クロスサイトスクリプティ...

2025年5月18日、VulDBはD-Link DAP-2695バージョン120b36r137_ALL_en_20210528における深刻なセキュリティ脆弱性CVE-2025-4860を公開した。Static Pool Settings Pageのadv_dhcps.phpファイルに存在するクロスサイトスクリプティング(XSS)脆弱性で、f_mac引数の操作によるリモート攻撃が可能だ。既に公開されているため、早急な対策が必要である。サポート終了製品であるため、代替製品への移行が推奨される。

Microsoft、Lumma Stealerマルウェア対策で2300以上の悪意のあるドメインを無効化、39万台以上の感染PCからの通信遮断

Microsoft、Lumma Stealerマルウェア対策で2300以上の悪意のあるドメイン...

MicrosoftのDigital Crimes Unit(DCU)は、国際的なパートナーと協力し、サイバー犯罪ツールLumma Stealerに対する大規模な対策を実施した。約2300の悪意のあるドメインを無効化し、39万4000台以上の感染Windows PCからの通信を遮断した。この対策は、個人情報や組織情報を無差別に盗むLumma Stealerの活動を大幅に抑制する効果が期待される。

Microsoft、Lumma Stealerマルウェア対策で2300以上の悪意のあるドメイン...

MicrosoftのDigital Crimes Unit(DCU)は、国際的なパートナーと協力し、サイバー犯罪ツールLumma Stealerに対する大規模な対策を実施した。約2300の悪意のあるドメインを無効化し、39万4000台以上の感染Windows PCからの通信を遮断した。この対策は、個人情報や組織情報を無差別に盗むLumma Stealerの活動を大幅に抑制する効果が期待される。

Umbraco FormsのHTMLインジェクション脆弱性CVE-2025-47280が公開、バージョン13.4.2と15.1.2で修正

Umbraco FormsのHTMLインジェクション脆弱性CVE-2025-47280が公開、...

GitHubは2025年5月13日、Umbraco Formsのメール送信ワークフローにおけるHTMLインジェクション脆弱性CVE-2025-47280を公開した。バージョン7.x以降、13.4.2と15.1.2より前のバージョンが影響を受ける。ユーザー提供のフィールド値がHTMLエンコードされないことが原因で、スパム対策やメールクライアントのセキュリティシステムをバイパスされる可能性がある。13.4.2と15.1.2で修正済み。回避策として`Send email with template (Razor)`ワークフローの使用やカスタムワークフローの作成が推奨される。

Umbraco FormsのHTMLインジェクション脆弱性CVE-2025-47280が公開、...

GitHubは2025年5月13日、Umbraco Formsのメール送信ワークフローにおけるHTMLインジェクション脆弱性CVE-2025-47280を公開した。バージョン7.x以降、13.4.2と15.1.2より前のバージョンが影響を受ける。ユーザー提供のフィールド値がHTMLエンコードされないことが原因で、スパム対策やメールクライアントのセキュリティシステムをバイパスされる可能性がある。13.4.2と15.1.2で修正済み。回避策として`Send email with template (Razor)`ワークフローの使用やカスタムワークフローの作成が推奨される。

Google Chromeがユーザー認証と本人確認機能を刷新、安全でシンプルなログイン体験を提供

Google Chromeがユーザー認証と本人確認機能を刷新、安全でシンプルなログイン体験を提供

GoogleはChromeブラウザにおいて、パスワード、パスキー、連携認証を統合した新しいユーザー認証と本人確認システムを発表した。モバイルウォレット連携による本人確認や、デバイスバインドセッション認証情報によるセキュリティ強化など、多様な機能強化が施されている。よりシンプルで安全なウェブ体験を提供する革新的なアップデートだ。

Google Chromeがユーザー認証と本人確認機能を刷新、安全でシンプルなログイン体験を提供

GoogleはChromeブラウザにおいて、パスワード、パスキー、連携認証を統合した新しいユーザー認証と本人確認システムを発表した。モバイルウォレット連携による本人確認や、デバイスバインドセッション認証情報によるセキュリティ強化など、多様な機能強化が施されている。よりシンプルで安全なウェブ体験を提供する革新的なアップデートだ。

WordfenceがWordPressプラグインWPBookitの脆弱性CVE-2025-3811を公開、権限昇格リスク

WordfenceがWordPressプラグインWPBookitの脆弱性CVE-2025-38...

Wordfenceは2025年5月9日、WordPressプラグインWPBookitバージョン1.0.2以前における深刻な脆弱性CVE-2025-3811を公開した。この脆弱性により、認証されていない攻撃者が任意のユーザーのメールアドレスを変更し、パスワードをリセットしてアカウントを乗っ取ることが可能となる。CVSSスコアは9.8と高く、迅速な対応が必要だ。

WordfenceがWordPressプラグインWPBookitの脆弱性CVE-2025-38...

Wordfenceは2025年5月9日、WordPressプラグインWPBookitバージョン1.0.2以前における深刻な脆弱性CVE-2025-3811を公開した。この脆弱性により、認証されていない攻撃者が任意のユーザーのメールアドレスを変更し、パスワードをリセットしてアカウントを乗っ取ることが可能となる。CVSSスコアは9.8と高く、迅速な対応が必要だ。

ウェルスナビ、ログイン多要素認証を必須化、セキュリティ強化でユーザー資産保護

ウェルスナビ、ログイン多要素認証を必須化、セキュリティ強化でユーザー資産保護

ウェルスナビ株式会社は2025年6月9日より、ロボアドバイザーサービスWealthNaviのログイン時に多要素認証を順次必須化すると発表した。認証アプリまたはメールによる追加認証を導入し、セキュリティを強化する。将来的にはFIDOなども採用予定で、ユーザー資産と情報の安全性を高める取り組みを継続する。

ウェルスナビ、ログイン多要素認証を必須化、セキュリティ強化でユーザー資産保護

ウェルスナビ株式会社は2025年6月9日より、ロボアドバイザーサービスWealthNaviのログイン時に多要素認証を順次必須化すると発表した。認証アプリまたはメールによる追加認証を導入し、セキュリティを強化する。将来的にはFIDOなども採用予定で、ユーザー資産と情報の安全性を高める取り組みを継続する。

Swissbitが次世代ハードウェア認証キーiShield Key 2を発表、物理アクセス制御とデジタルアクセス制御を統合

Swissbitが次世代ハードウェア認証キーiShield Key 2を発表、物理アクセス制御...

Swissbitは2025年5月8日、次世代ハードウェア認証キーiShield Key 2を発表した。FIDO2標準準拠で最大300個のパスキーに対応、MIFARE対応モデルは物理アクセス制御も可能にする。USB-CとNFCに対応し、ProバージョンはHOTP、TOTP、PIVをサポート。FIPS 140-3 Level 3認証取得バージョンもあり、企業のセキュリティニーズに柔軟に対応する。

Swissbitが次世代ハードウェア認証キーiShield Key 2を発表、物理アクセス制御...

Swissbitは2025年5月8日、次世代ハードウェア認証キーiShield Key 2を発表した。FIDO2標準準拠で最大300個のパスキーに対応、MIFARE対応モデルは物理アクセス制御も可能にする。USB-CとNFCに対応し、ProバージョンはHOTP、TOTP、PIVをサポート。FIPS 140-3 Level 3認証取得バージョンもあり、企業のセキュリティニーズに柔軟に対応する。

Netskopeが新たなランサムウェア亜種「DOGE Big Balls」を発見、高度な攻撃手法に警鐘

Netskopeが新たなランサムウェア亜種「DOGE Big Balls」を発見、高度な攻撃手...

Netskope Threat Labsは、Fogランサムウェアから派生した新たなランサムウェア亜種「DOGE Big Balls」を発見した。高度なAMSIバイパス技術やラテラルムーブメントなどを用いた多段階攻撃を行い、企業ネットワークに深刻な被害をもたらす可能性がある。Netlify上でペイロードを公開し、頻繁に更新されるツールキットを使用しているため、継続的な監視と対策が不可欠だ。

Netskopeが新たなランサムウェア亜種「DOGE Big Balls」を発見、高度な攻撃手...

Netskope Threat Labsは、Fogランサムウェアから派生した新たなランサムウェア亜種「DOGE Big Balls」を発見した。高度なAMSIバイパス技術やラテラルムーブメントなどを用いた多段階攻撃を行い、企業ネットワークに深刻な被害をもたらす可能性がある。Netlify上でペイロードを公開し、頻繁に更新されるツールキットを使用しているため、継続的な監視と対策が不可欠だ。

PCMan FTP Server 2.0.7の深刻な脆弱性CVE-2025-4182が公開、バッファオーバーフローのリスクに注意

PCMan FTP Server 2.0.7の深刻な脆弱性CVE-2025-4182が公開、バ...

VulDBは2025年5月1日、PCMan FTP Server 2.0.7における深刻な脆弱性CVE-2025-4182を公開した。BELLコマンドハンドラのバッファオーバーフローにより、リモート攻撃が可能となる。CVSSスコアは7.5(HIGH)と評価されており、早急な対策が必要だ。既に公開されたエクスプロイトコードも存在するため、セキュリティ対策の強化が急務である。

PCMan FTP Server 2.0.7の深刻な脆弱性CVE-2025-4182が公開、バ...

VulDBは2025年5月1日、PCMan FTP Server 2.0.7における深刻な脆弱性CVE-2025-4182を公開した。BELLコマンドハンドラのバッファオーバーフローにより、リモート攻撃が可能となる。CVSSスコアは7.5(HIGH)と評価されており、早急な対策が必要だ。既に公開されたエクスプロイトコードも存在するため、セキュリティ対策の強化が急務である。

SAP NetWeaver Visual Composerの深刻な脆弱性CVE-2025-42999が公開、迅速な対応が必要

SAP NetWeaver Visual Composerの深刻な脆弱性CVE-2025-42...

SAP SEは2025年5月13日、SAP NetWeaver Visual Composer Metadata Uploaderにおける深刻な脆弱性CVE-2025-42999を公開した。CVSSスコア9.1、深刻度レベルCRITICAL。特権ユーザーが不正なコンテンツをアップロードすると、システムの機密性、完全性、可用性が損なわれる可能性がある。VCFRAMEWORK 7.50バージョンが影響を受ける。迅速なパッチ適用とセキュリティ対策の強化が求められる。

SAP NetWeaver Visual Composerの深刻な脆弱性CVE-2025-42...

SAP SEは2025年5月13日、SAP NetWeaver Visual Composer Metadata Uploaderにおける深刻な脆弱性CVE-2025-42999を公開した。CVSSスコア9.1、深刻度レベルCRITICAL。特権ユーザーが不正なコンテンツをアップロードすると、システムの機密性、完全性、可用性が損なわれる可能性がある。VCFRAMEWORK 7.50バージョンが影響を受ける。迅速なパッチ適用とセキュリティ対策の強化が求められる。

SourceCodester Patient Record Management System 1.0のSQLインジェクション脆弱性CVE-2025-4196が公開

SourceCodester Patient Record Management System...

SourceCodester Patient Record Management System 1.0において、birthing.phpファイルのcomp_id引数を操作することでSQLインジェクション攻撃を可能にする深刻な脆弱性CVE-2025-4196がVulDBにより2025年5月2日に公開された。CVSSスコアは5.3(MEDIUM)と評価されており、リモートからの攻撃が可能で、既に公開されているため悪用される可能性がある。医療機関は迅速な対応が必要だ。

SourceCodester Patient Record Management System...

SourceCodester Patient Record Management System 1.0において、birthing.phpファイルのcomp_id引数を操作することでSQLインジェクション攻撃を可能にする深刻な脆弱性CVE-2025-4196がVulDBにより2025年5月2日に公開された。CVSSスコアは5.3(MEDIUM)と評価されており、リモートからの攻撃が可能で、既に公開されているため悪用される可能性がある。医療機関は迅速な対応が必要だ。

YesWikiのコメント機能にXSS脆弱性CVE-2025-46346、4.5.4で修正

YesWikiのコメント機能にXSS脆弱性CVE-2025-46346、4.5.4で修正

PHP製のWikiシステムYesWikiのバージョン4.5.4未満において、コメント機能に保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46346が発見された。悪意のあるJavaScriptコードが実行される可能性があり、4.5.4以降のバージョンでは修正済みだ。GitHubが2025年4月29日に公開したセキュリティアドバイザリを参照のこと。

YesWikiのコメント機能にXSS脆弱性CVE-2025-46346、4.5.4で修正

PHP製のWikiシステムYesWikiのバージョン4.5.4未満において、コメント機能に保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46346が発見された。悪意のあるJavaScriptコードが実行される可能性があり、4.5.4以降のバージョンでは修正済みだ。GitHubが2025年4月29日に公開したセキュリティアドバイザリを参照のこと。

XWikiプラットフォームの脆弱性CVE-2025-32970修正、オープンリダイレクト対策が重要

XWikiプラットフォームの脆弱性CVE-2025-32970修正、オープンリダイレクト対策が重要

2025年4月30日、XWikiプラットフォームのオープンリダイレクト脆弱性CVE-2025-32970が公開された。バージョン13.5-rc-1から15.10.12、16.0.0-rc-1から16.4.3、16.5.0-rc-1から16.7.9が影響を受ける。攻撃者は任意のURLにリダイレクトできるため、速やかなバージョン15.10.13、16.4.4、16.8.0へのアップデートが必須だ。

XWikiプラットフォームの脆弱性CVE-2025-32970修正、オープンリダイレクト対策が重要

2025年4月30日、XWikiプラットフォームのオープンリダイレクト脆弱性CVE-2025-32970が公開された。バージョン13.5-rc-1から15.10.12、16.0.0-rc-1から16.4.3、16.5.0-rc-1から16.7.9が影響を受ける。攻撃者は任意のURLにリダイレクトできるため、速やかなバージョン15.10.13、16.4.4、16.8.0へのアップデートが必須だ。

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025-47625が公開、XSS脆弱性への対策を

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025...

Patchstack OUは2025年5月7日、WordPressプラグインDoFollow Case by Caseのバージョン3.5.1以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47625を公開した。この脆弱性は、悪意のあるスクリプト実行によるウェブサイト改ざん、情報漏洩などのリスクを伴う。早急なアップデートが推奨される。

WordPressプラグインDoFollow Case by Caseの脆弱性CVE-2025...

Patchstack OUは2025年5月7日、WordPressプラグインDoFollow Case by Caseのバージョン3.5.1以前におけるクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47625を公開した。この脆弱性は、悪意のあるスクリプト実行によるウェブサイト改ざん、情報漏洩などのリスクを伴う。早急なアップデートが推奨される。

WordPressプラグインAjax Load More 7.3.1以前のXSS脆弱性CVE-2025-47630が公開

WordPressプラグインAjax Load More 7.3.1以前のXSS脆弱性CVE-...

Patchstack OUは2025年5月7日、WordPressプラグインAjax Load Moreバージョン7.3.1以前における深刻なクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47630を公開した。この脆弱性により、攻撃者は悪意のあるスクリプトを注入し、ウェブサイトを改ざんしたり、ユーザーの情報を盗んだりする可能性がある。muhammad yudha氏(Patchstack Alliance)によって発見されたこの脆弱性への対策として、速やかなプラグインのアップデートが強く推奨される。

WordPressプラグインAjax Load More 7.3.1以前のXSS脆弱性CVE-...

Patchstack OUは2025年5月7日、WordPressプラグインAjax Load Moreバージョン7.3.1以前における深刻なクロスサイトスクリプティング(XSS)脆弱性CVE-2025-47630を公開した。この脆弱性により、攻撃者は悪意のあるスクリプトを注入し、ウェブサイトを改ざんしたり、ユーザーの情報を盗んだりする可能性がある。muhammad yudha氏(Patchstack Alliance)によって発見されたこの脆弱性への対策として、速やかなプラグインのアップデートが強く推奨される。

WordPress Awesome Gallery 1.0以下のバージョンに深刻なXSS脆弱性CVE-2025-47632が発見される

WordPress Awesome Gallery 1.0以下のバージョンに深刻なXSS脆弱性...

Raihanul Islam開発のWordPressプラグインAwesome Galleryのバージョン1.0以前において、保存型クロスサイトスクリプティング(XSS)の脆弱性CVE-2025-47632が発見された。Patchstack OUが公開した情報によると、悪意のあるスクリプトが実行される可能性があり、ユーザーの個人情報やウェブサイトの改ざんリスクがある。速やかなアップデートが推奨される。

WordPress Awesome Gallery 1.0以下のバージョンに深刻なXSS脆弱性...

Raihanul Islam開発のWordPressプラグインAwesome Galleryのバージョン1.0以前において、保存型クロスサイトスクリプティング(XSS)の脆弱性CVE-2025-47632が発見された。Patchstack OUが公開した情報によると、悪意のあるスクリプトが実行される可能性があり、ユーザーの個人情報やウェブサイトの改ざんリスクがある。速やかなアップデートが推奨される。

SonicWALL SMA1000アプライアンスの深刻な脆弱性CVE-2025-2170が公開、迅速な対応が必要

SonicWALL SMA1000アプライアンスの深刻な脆弱性CVE-2025-2170が公開...

SonicWALL社は、SMA1000アプライアンスのワークプレイスインターフェースにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性CVE-2025-2170を公開した。12.4.3-02907以前のバージョンが影響を受け、リモートの認証されていない攻撃者が不正なリクエストを実行できる可能性がある。CVSSスコアは7.2(HIGH)と評価されており、迅速なパッチ適用が求められる。

SonicWALL SMA1000アプライアンスの深刻な脆弱性CVE-2025-2170が公開...

SonicWALL社は、SMA1000アプライアンスのワークプレイスインターフェースにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性CVE-2025-2170を公開した。12.4.3-02907以前のバージョンが影響を受け、リモートの認証されていない攻撃者が不正なリクエストを実行できる可能性がある。CVSSスコアは7.2(HIGH)と評価されており、迅速なパッチ適用が求められる。

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-3929が公開、迅速なアップデートが必要

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-39...

ESET社は2025年4月29日、MDaemon Email Serverバージョン25.0.1以前における保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-3929を発表した。攻撃者は細工されたHTMLメールで任意のJavaScriptコードを実行し、ユーザーデータにアクセスできる可能性がある。CVSSスコアは5.3(MEDIUM)。25.0.2以降では修正済みだ。迅速なアップデートが推奨される。

MDaemon Email Server 25.0.1以前のXSS脆弱性CVE-2025-39...

ESET社は2025年4月29日、MDaemon Email Serverバージョン25.0.1以前における保存型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-3929を発表した。攻撃者は細工されたHTMLメールで任意のJavaScriptコードを実行し、ユーザーデータにアクセスできる可能性がある。CVSSスコアは5.3(MEDIUM)。25.0.2以降では修正済みだ。迅速なアップデートが推奨される。

WordPressプラグインVForm 3.1.14以前のXSS脆弱性CVE-2025-46250が公開、迅速なアップデートが必要

WordPressプラグインVForm 3.1.14以前のXSS脆弱性CVE-2025-462...

Patchstack OÜは2025年4月22日、WordPressプラグインVFormバージョン3.1.14以前における深刻度MEDIUMのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46250を公開した。ストアード型XSS攻撃が可能で、ユーザーのセッション情報窃取やWebサイト改ざんのリスクがあるため、速やかなバージョン3.1.15以降へのアップデートが強く推奨される。

WordPressプラグインVForm 3.1.14以前のXSS脆弱性CVE-2025-462...

Patchstack OÜは2025年4月22日、WordPressプラグインVFormバージョン3.1.14以前における深刻度MEDIUMのクロスサイトスクリプティング(XSS)脆弱性CVE-2025-46250を公開した。ストアード型XSS攻撃が可能で、ユーザーのセッション情報窃取やWebサイト改ざんのリスクがあるため、速やかなバージョン3.1.15以降へのアップデートが強く推奨される。

【CVE-2025-46227】WordPress用プラグインCustom Related Postsにクロスサイトスクリプティングの脆弱性、バージョン1.7.5で修正完了

【CVE-2025-46227】WordPress用プラグインCustom Related P...

Patchstack OÜはWordPressプラグイン「Custom Related Posts」のバージョン1.7.4以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.5(MEDIUM)と評価されたこの脆弱性は、入力値の不適切な無害化に起因する格納型XSSの問題であり、バージョン1.7.5で修正された。CISAの評価では自動化可能な攻撃は確認されていない。

【CVE-2025-46227】WordPress用プラグインCustom Related P...

Patchstack OÜはWordPressプラグイン「Custom Related Posts」のバージョン1.7.4以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.5(MEDIUM)と評価されたこの脆弱性は、入力値の不適切な無害化に起因する格納型XSSの問題であり、バージョン1.7.5で修正された。CISAの評価では自動化可能な攻撃は確認されていない。

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS脆弱性、管理者権限で攻撃可能に

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...

WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...

WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月からEdgeへの移行を推進

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月か...

Microsoft AuthenticatorのパスワードオートフィルがEdgeへ統合される。2025年6月から新規パスワード保存が停止され、7月には自動入力機能が完全に廃止。8月以降は保存済みパスワードへのアクセスも不可となる。支払い情報は削除されるが、パスキー機能は継続してサポートされる。ユーザーはMicrosoft Edgeでパスワード管理を継続可能だ。

MicrosoftがAuthenticatorのパスワード自動入力機能を廃止、2025年7月か...

Microsoft AuthenticatorのパスワードオートフィルがEdgeへ統合される。2025年6月から新規パスワード保存が停止され、7月には自動入力機能が完全に廃止。8月以降は保存済みパスワードへのアクセスも不可となる。支払い情報は削除されるが、パスキー機能は継続してサポートされる。ユーザーはMicrosoft Edgeでパスワード管理を継続可能だ。

キヤノンS&Sが中小企業向け情報セキュリティルール作成支援サービスを開始、DX推進の基盤整備に貢献

キヤノンS&Sが中小企業向け情報セキュリティルール作成支援サービスを開始、DX推進の基盤整備に貢献

キヤノンシステムアンドサポート株式会社は、中小企業のDXを支援する「まかせてIT DXシリーズ」の新サービスとして、情報セキュリティルール作成支援サービスを2025年5月7日より提供開始した。IPAが推奨するフレームをひな型としたドキュメントを提供し、Security Action★★宣言の支援も実施。企業のセキュリティ対策の可視化と標準化を通じて、中小企業のDX推進基盤の整備に貢献する。

キヤノンS&Sが中小企業向け情報セキュリティルール作成支援サービスを開始、DX推進の基盤整備に貢献

キヤノンシステムアンドサポート株式会社は、中小企業のDXを支援する「まかせてIT DXシリーズ」の新サービスとして、情報セキュリティルール作成支援サービスを2025年5月7日より提供開始した。IPAが推奨するフレームをひな型としたドキュメントを提供し、Security Action★★宣言の支援も実施。企業のセキュリティ対策の可視化と標準化を通じて、中小企業のDX推進基盤の整備に貢献する。

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の自動化が進化

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の...

パロアルトネットワークスは2025年4月28日、AI駆動型セキュリティ運用プラットフォーム「Cortex XSIAM 3.0」を発表した。新機能のExposure ManagementとAdvanced Email Securityにより、AIを活用した脆弱性管理の自動化とメール脅威への対応を強化。LLMによる分析機能で高度化する攻撃への防御力を向上させている。

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の...

パロアルトネットワークスは2025年4月28日、AI駆動型セキュリティ運用プラットフォーム「Cortex XSIAM 3.0」を発表した。新機能のExposure ManagementとAdvanced Email Securityにより、AIを活用した脆弱性管理の自動化とメール脅威への対応を強化。LLMによる分析機能で高度化する攻撃への防御力を向上させている。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。

楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化

楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。

【CVE-2024-13419】Smart Framework搭載WordPressプラグインに認証後の重大な脆弱性、複数のフレームワークが影響を受ける状態に

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。