Tech Insights

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深刻な脆弱性、認証不要なXSS攻撃が可能に

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バージョン3.1.8以前に影響

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプティングの脆弱性、管理者権限の悪用のリスクに

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆弱性、バージョン0.8.2以前に影響

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-29427】Online Class and Exam Scheduling System V1.0にXSS脆弱性、教育システムのセキュリティ対策が急務に

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

ソリトンシステムズがSoliton DNS Guardの新機能を発表、Chromebookの全通信フィルタリングと長期ログ保存機能を実現

ソリトンシステムズがSoliton DNS Guardの新機能を発表、Chromebookの全...

ソリトンシステムズは教育機関向けクラウド型フィルタリングサービス「Soliton DNS Guard」において、Chromebookの全通信を保護する新機能を2025年4月3日より提供開始する。Chromeブラウザ以外のアプリ経由のインターネットアクセスも保護対象となり、最大5年間のDNSクエリログ保存機能も追加された。GIGAスクール構想における1人1台端末の普及に伴い、より安全な学習環境の実現が期待される。

ソリトンシステムズがSoliton DNS Guardの新機能を発表、Chromebookの全...

ソリトンシステムズは教育機関向けクラウド型フィルタリングサービス「Soliton DNS Guard」において、Chromebookの全通信を保護する新機能を2025年4月3日より提供開始する。Chromeブラウザ以外のアプリ経由のインターネットアクセスも保護対象となり、最大5年間のDNSクエリログ保存機能も追加された。GIGAスクール構想における1人1台端末の普及に伴い、より安全な学習環境の実現が期待される。

イー・ガーディアンがフィッシング対策の新サービスを開始、独自ツールで偽サイトの検知と通報を実現

イー・ガーディアンがフィッシング対策の新サービスを開始、独自ツールで偽サイトの検知と通報を実現

イー・ガーディアンは2025年3月31日より、フィッシング詐欺等に悪用される偽サイトを検知・通報する「フェイクサイトテイクダウン」の提供を開始した。独自ツールでURLを踏むことなく調査が可能で、2024年に約172万件まで増加したフィッシング被害の低減とブランド保護に貢献する。公式サイトのUI類似性やドッペルゲンガードメインなどを調査し、該当する場合は速やかに通報を行う。

イー・ガーディアンがフィッシング対策の新サービスを開始、独自ツールで偽サイトの検知と通報を実現

イー・ガーディアンは2025年3月31日より、フィッシング詐欺等に悪用される偽サイトを検知・通報する「フェイクサイトテイクダウン」の提供を開始した。独自ツールでURLを踏むことなく調査が可能で、2024年に約172万件まで増加したフィッシング被害の低減とブランド保護に貢献する。公式サイトのUI類似性やドッペルゲンガードメインなどを調査し、該当する場合は速やかに通報を行う。

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

BBSS株式会社が詐欺ウォールの2024年分析レポートを公開。サポート詐欺が前年比2.6倍に急増し、偽販売サイトが全体の7割以上を占める。フィッシング詐欺では三菱UFJ銀行を装うサイトが最多で、クレジットカード詐欺が31%を占めた。地方銀行を標的とした攻撃も33%増加し、詐欺ウォールの年間検知数は1億1,743,401件に達している。

2024年のインターネット詐欺が深刻化、サポート詐欺が前年比2.6倍に増加し詐欺検知数が1億件突破

BBSS株式会社が詐欺ウォールの2024年分析レポートを公開。サポート詐欺が前年比2.6倍に急増し、偽販売サイトが全体の7割以上を占める。フィッシング詐欺では三菱UFJ銀行を装うサイトが最多で、クレジットカード詐欺が31%を占めた。地方銀行を標的とした攻撃も33%増加し、詐欺ウォールの年間検知数は1億1,743,401件に達している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバージョンにXSS脆弱性が発見、ベンダーの対応待ち状態が継続

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2650】PHPGurukul Medical Card Generation System 1.0にXSS脆弱性、医療情報システムのセキュリティに警鐘

【CVE-2025-2650】PHPGurukul Medical Card Generati...

PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。

【CVE-2025-2650】PHPGurukul Medical Card Generati...

PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。

【CVE-2025-1802】HT Mega – Absolute Addons For Elementorに深刻な脆弱性、早急な対応が必要な状況に

【CVE-2025-1802】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-1802】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...

WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱性、Contributor権限で攻撃可能に

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で修正パッチを提供

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのXSS攻撃が可能に

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのX...

WordPressプラグインWP Test Emailの1.1.8以前のバージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2025-2325として識別されるこの脆弱性は、CVSSスコア7.2の高リスク評価となっている。未認証の攻撃者が任意のWebスクリプトを注入可能で、ユーザー環境での実行が可能となるため、早急な対応が必要とされている。

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのX...

WordPressプラグインWP Test Emailの1.1.8以前のバージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2025-2325として識別されるこの脆弱性は、CVSSスコア7.2の高リスク評価となっている。未認証の攻撃者が任意のWebスクリプトを注入可能で、ユーザー環境での実行が可能となるため、早急な対応が必要とされている。

【CVE-2025-29430】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-29429】教育機関向けOnline Class and Exam Scheduling System V1.0にXSS脆弱性、早急な対応が必要に

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセキュリティ対策の強化へ

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

キヤノンITSが標的型攻撃メール訓練サービスMudFixを発表、SOLTAGEのセキュリティ機能が強化へ

キヤノンITSが標的型攻撃メール訓練サービスMudFixを発表、SOLTAGEのセキュリティ機...

キヤノンITソリューションズがITインフラサービスSOLTAGEの新たなセキュリティラインアップとして、JSecurityの標的型攻撃メール訓練/教育サービスMudFixの提供を開始する。充実したテンプレートとカスタマイズ機能で効果的な訓練を実現し、完全クラウドサービスとして提供されるため初期費用なしですぐに利用可能だ。

キヤノンITSが標的型攻撃メール訓練サービスMudFixを発表、SOLTAGEのセキュリティ機...

キヤノンITソリューションズがITインフラサービスSOLTAGEの新たなセキュリティラインアップとして、JSecurityの標的型攻撃メール訓練/教育サービスMudFixの提供を開始する。充実したテンプレートとカスタマイズ機能で効果的な訓練を実現し、完全クラウドサービスとして提供されるため初期費用なしですぐに利用可能だ。

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復旧とメールセキュリティを強化

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復...

ESETは2025年3月26日、ランサムウェアの暗号化からの復旧機能「ランサムウェア修復」を搭載したESET PROTECT Platformの新バージョンを発表した。独自のストレージ保護技術でバックアップデータを守り、なりすまし対策とホモグリフ攻撃対策機能も追加してメールセキュリティを強化。さらにAI Advisorの機能拡充により、インシデント対応の効率化を実現する。

ESETがランサムウェア修復機能を搭載したPROTECT Platformをリリース、データ復...

ESETは2025年3月26日、ランサムウェアの暗号化からの復旧機能「ランサムウェア修復」を搭載したESET PROTECT Platformの新バージョンを発表した。独自のストレージ保護技術でバックアップデータを守り、なりすまし対策とホモグリフ攻撃対策機能も追加してメールセキュリティを強化。さらにAI Advisorの機能拡充により、インシデント対応の効率化を実現する。

【CVE-2025-1517】Sina Extension for Elementor 3.6.0以下にXSS脆弱性、投稿者権限で悪用の可能性

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエラーページで発生

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトスクリプティングの脆弱性、管理者機能が攻撃対象に

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、リモート攻撃のリスクが判明

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sale機能での危険性が判明

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

キヤノンITSがクラウド型標的型攻撃メール訓練サービスMudFixを提供開始、充実したテンプレートとカスタマイズ機能で効果的な訓練を実現

キヤノンITSがクラウド型標的型攻撃メール訓練サービスMudFixを提供開始、充実したテンプレ...

キヤノンITソリューションズは2025年3月24日より、ITインフラサービス「SOLTAGE」の新たなセキュリティラインアップとして標的型攻撃メール訓練サービス「MudFix」の提供を開始した。JSecurityが開発したMudFixは、添付ファイルタイプとフィッシング誘導タイプの多様なテンプレートを提供し、リアルタイム管理ツールで訓練状況を詳細に把握可能。完全クラウドサービスで初期費用なしの柔軟な料金プランを用意している。

キヤノンITSがクラウド型標的型攻撃メール訓練サービスMudFixを提供開始、充実したテンプレ...

キヤノンITソリューションズは2025年3月24日より、ITインフラサービス「SOLTAGE」の新たなセキュリティラインアップとして標的型攻撃メール訓練サービス「MudFix」の提供を開始した。JSecurityが開発したMudFixは、添付ファイルタイプとフィッシング誘導タイプの多様なテンプレートを提供し、リアルタイム管理ツールで訓練状況を詳細に把握可能。完全クラウドサービスで初期費用なしの柔軟な料金プランを用意している。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射型XSS脆弱性、バージョン1.3.3以前のユーザーに影響

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.0.8で修正完了

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱性、投稿者権限で不正スクリプト実行が可能に

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れが深刻な事態に

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。