Tech Insights

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィールドの暗号署名脆弱性が発見、なりすまし攻撃のリスクに

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィー...

Red Hat社が電子メールクライアントmuttとneomuttにおける重要な脆弱性を公開。In-Reply-To電子メールヘッダーフィールドが暗号署名による保護を受けておらず、攻撃者が暗号化されていない署名付きメールを再利用して送信者になりすます可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受け、早急な対応が求められる事態となっている。

【CVE-2024-49394】muttとneomuttにIn-Reply-Toヘッダーフィー...

Red Hat社が電子メールクライアントmuttとneomuttにおける重要な脆弱性を公開。In-Reply-To電子メールヘッダーフィールドが暗号署名による保護を受けておらず、攻撃者が暗号化されていない署名付きメールを再利用して送信者になりすます可能性がある。Red Hat Enterprise Linux 8および9の全バージョンが影響を受け、早急な対応が求められる事態となっている。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムURL設定で危険性

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-51490】Ampache 7.0.1未満にXSS脆弱性、ロゴのカスタムU...

GitHubセキュリティアドバイザリーは、Ampacheのインターフェースセクションにおいて、ロゴのカスタムURL設定でJavaScriptが実行可能な新たな脆弱性を報告した。CVSS v3.1で深刻度5.5と評価され、特権アカウントを必要とするものの攻撃条件の複雑さは低く、機密性・整合性・可用性に影響を及ぼす可能性がある。開発チームは7.0.1でこの問題を修正している。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発見、バージョン1.0以前のユーザーに影響

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-52350】WordPress CRM 2goプラグインにXSS脆弱性が発...

Patchstack OÜによって、WordPress用プラグインCRM 2goにクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はバージョン1.0以前の全バージョンに影響を与えており、CVSSスコア6.5の中程度の深刻度と評価されている。特権レベルとユーザーインタラクションが必要となる攻撃条件があるものの、機密性、完全性、可用性に影響を与える可能性が指摘されている。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-50969】Jonnys Liquor 1.0にXSS脆弱性が発見、リモー...

Code-projectsは2024年11月13日、Jonnys Liquor 1.0のbrowse.phpにReflected XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。searchパラメータを介して任意のWebスクリプトやHTMLを注入可能な状態にあり、リモート攻撃者によって悪用されるリスクが指摘されている。MITREによって【CVE-2024-50969】として識別されたこの脆弱性への早急な対応が求められている。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4.5のオープンリダイレクト脆弱性が発覚、セキュリティ対策が急務に

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-47648】WordPressプラグインEventPrime 4.0.4....

WordPressのイベント管理プラグインEventPrime 4.0.4.5以前のバージョンにオープンリダイレクト脆弱性が存在することが判明した。CVE-2024-47648として識別されたこの脆弱性は、CVSSスコア4.7のミディアムリスクと評価されており、特権は不要だがユーザーの操作が必要とされている。開発元は4.0.4.6でこの問題を修正しており、早急なアップデートが推奨される。

【CVE-2024-8107】Slider Revolution 6.7.18以前にXSS脆弱性が発見、Author権限での攻撃に注意

【CVE-2024-8107】Slider Revolution 6.7.18以前にXSS脆弱...

WordPressプラグインのSlider Revolutionにおいて、バージョン6.7.18以前にXSS脆弱性が発見された。SVGファイルアップロード機能を悪用した攻撃が可能で、Author権限以上のユーザーによって悪用される可能性がある。CVSS3.1スコアは6.4でMedium評価。管理者は最新バージョンへのアップデートを推奨されている。

【CVE-2024-8107】Slider Revolution 6.7.18以前にXSS脆弱...

WordPressプラグインのSlider Revolutionにおいて、バージョン6.7.18以前にXSS脆弱性が発見された。SVGファイルアップロード機能を悪用した攻撃が可能で、Author権限以上のユーザーによって悪用される可能性がある。CVSS3.1スコアは6.4でMedium評価。管理者は最新バージョンへのアップデートを推奨されている。

【CVE-2024-47854】Veritas Data Insight 7.1未満にXSS脆弱性、認証済みユーザーへの攻撃が可能に

【CVE-2024-47854】Veritas Data Insight 7.1未満にXSS脆...

Veritasは、Data Insight 7.1より前のバージョンにおいて、深刻なXSS脆弱性(CVE-2024-47854)を発見したことを公開した。この脆弱性により、リモートの攻撃者が認証済みユーザーに対してHTTPリクエストを介して任意のWebスクリプトを注入できる状態となっている。CVSSスコアは6.1(Medium)で、攻撃には特別な権限は不要だが、ユーザーの操作を必要とする。

【CVE-2024-47854】Veritas Data Insight 7.1未満にXSS脆...

Veritasは、Data Insight 7.1より前のバージョンにおいて、深刻なXSS脆弱性(CVE-2024-47854)を発見したことを公開した。この脆弱性により、リモートの攻撃者が認証済みユーザーに対してHTTPリクエストを介して任意のWebスクリプトを注入できる状態となっている。CVSSスコアは6.1(Medium)で、攻撃には特別な権限は不要だが、ユーザーの操作を必要とする。

【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14にXSS脆弱性、アップデートで対策を

【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...

WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。

【CVE-2024-50461】WordPressプラグインEmbedPress 4.0.14...

WordPressプラグインEmbedPress 4.0.14以前のバージョンにおいて、Cross Site Scripting(XSS)の脆弱性が発見された。CVSSスコア6.5(Medium)と評価されるこの脆弱性は、Webページ生成時における入力の不適切な無害化処理に起因しており、情報漏洩やセッションハイジャックなどの深刻な被害をもたらす可能性がある。すでにバージョン4.1.0で修正が実施されており、早急なアップデートが推奨されている。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱性が発覚、ユーザーアカウント管理機能に深刻な影響

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-51031】Cab Management System 1.0にXSS脆弱...

Sourcecodester Cab Management System 1.0のmanage_account.phpにクロスサイトスクリプティング脆弱性が発見された。認証済みユーザーが名前入力フィールドを介して任意のWebスクリプトを注入可能で、ユーザーセッションの窃取やWebサイトの改ざんなどのリスクが指摘されている。MITREは本脆弱性をCVE-2024-51031として識別し、早急な対策を推奨している。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons 3.4にXSS脆弱性、バージョン3.5で修正完了

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-50458】WordPress用プラグインAdvanced Sermons...

WordPressプラグインAdvanced Sermonsのバージョン3.4以前にクロスサイトスクリプティング脆弱性が発見された。CVSS 3.1スコア6.5の中程度の深刻度で、攻撃には低い権限と利用者の操作が必要となる。SOPROBROによって発見されたこの脆弱性は、バージョン3.5で修正された。SSVCによる評価では、脆弱性の自動化可能性はなく、技術的影響は部分的とされている。

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、修正パッチの早期提供が急務に

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...

Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。

【CVE-2024-9440】Slim Select 2.0-2.9.0にXSS脆弱性が発見、...

Slim Select 2.0から2.9.0のバージョンにおいて、クロスサイトスクリプティング脆弱性が発見された。createOption関数内でユーザー入力値が適切にサニタイズされずにHTMLに出力される問題が確認されており、攻撃者によって任意のJavaScriptコードが実行される可能性がある。CVSSスコアは5.4で深刻度はミディアムに分類され、現時点で修正パッチは提供されていない。

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、Author権限での攻撃に注意

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...

WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。

【CVE-2024-10269】Easy SVG Support 3.7でXSS脆弱性が発見、...

WordPressプラグインのEasy SVG Supportにおいて、バージョン3.7以前に深刻な脆弱性が発見された。CVSSスコア6.4のこの脆弱性は、REST APIを介したSVGファイルアップロードにおける不適切な入力サニタイズとアウトプットエスケープが原因で発生している。認証済みの攻撃者がAuthor以上の権限を持っている場合に悪用が可能となっている。

LRM社がセキュリティ教育の実態調査を公開、62%の企業で年1、2回の実施にとどまり効果検証に課題

LRM社がセキュリティ教育の実態調査を公開、62%の企業で年1、2回の実施にとどまり効果検証に課題

LRM株式会社が737社を対象としたセキュリティ教育に関する実態調査結果を公開した。調査からは62%の企業が年1、2回の実施にとどまり、60%が教育効果の可視化に課題を抱えていることが判明。eラーニングや標的型攻撃メール訓練が主流だが、定期的な教育機会の確保と効果測定の確立が今後の重要課題となっている。

LRM社がセキュリティ教育の実態調査を公開、62%の企業で年1、2回の実施にとどまり効果検証に課題

LRM株式会社が737社を対象としたセキュリティ教育に関する実態調査結果を公開した。調査からは62%の企業が年1、2回の実施にとどまり、60%が教育効果の可視化に課題を抱えていることが判明。eラーニングや標的型攻撃メール訓練が主流だが、定期的な教育機会の確保と効果測定の確立が今後の重要課題となっている。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研究データの保護に向けた対策が急務に

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻なXSS脆弱性が発見、バージョン1.2.7で修正完了

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

【CVE-2024-49693】WordPress用Mega Elementsプラグインに深刻...

WordPress用プラグインMega Elementsの1.2.6以前のバージョンにXSS脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、攻撃の難易度は低いとされている。Kraftplugins社は迅速に対応し、バージョン1.2.7で修正を完了。ユーザーには最新バージョンへのアップデートが推奨される。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱性、バージョン1.4.20で修正済み

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50447】EnvoThemesのElementorプラグインにXSS脆弱...

WordPressプラグイン「Envo's Elementor Templates & Widgets for WooCommerce」にクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.5のMedium評価で、バージョン1.4.19以前が影響を受ける。開発元のEnvoThemesはバージョン1.4.20で修正を実施し、ユーザーへの早急なアップデートを推奨している。

【CVE-2024-50445】WordPress Selection Lite 1.13にXSS脆弱性が発見、速やかな更新が必要に

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-50445】WordPress Selection Lite 1.13にX...

WordPress用プラグインSelection Liteにおいて、バージョン1.13以前に影響を与えるクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価され、特権ユーザーによる攻撃が可能な状態。開発元のMerkulove社はバージョン1.14で修正を実施しており、影響を受けるユーザーには速やかなアップデートを推奨している。

【CVE-2024-49679】WPKoi Templates for Elementorにクロスサイトスクリプティングの脆弱性、バージョン3.1.0以前に影響

【CVE-2024-49679】WPKoi Templates for Elementorにク...

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-49679】WPKoi Templates for Elementorにク...

WordPressのプラグインWPKoi Templates for Elementorにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-49679として識別されるこの脆弱性は、バージョン3.1.0以前に影響を与え、CVSSスコア5.9と評価される。高い権限を持つユーザーのみが影響を受けるが、攻撃が成功すると重大な被害につながる可能性があるため、バージョン3.1.1への早急なアップデートが推奨される。

【CVE-2024-10715】MapPress Maps for WordPress 2.94.1に重大な脆弱性、XSS攻撃のリスクが浮上

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-10715】MapPress Maps for WordPress 2.9...

WordPressプラグイン「MapPress Maps for WordPress」のバージョン2.94.1以前において、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2024-10715として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態となっており、CVSSスコアは6.4(Medium)と評価されている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射型クロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価され、早急な対策が必要とされている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1(MEDIUM)と評価され、早急な対策が必要とされている。

【CVE-2024-10168】Active Products Tables for WooCommerceにXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooC...

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性、Contributor権限での悪用が可能に

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-9178】XT Floating Cart for WooCommerceに深刻なXSS脆弱性、Author権限で悪用の可能性

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9178】XT Floating Cart for WooCommerce...

WordPressプラグインXT Floating Cart for WooCommerceのバージョン2.8.2以前にXSS脆弱性が発見された。CVSSスコア6.4を記録したこの脆弱性は、Author以上の権限を持つユーザーがSVGファイルを介して任意のスクリプトを実行可能。サイト訪問者へのスクリプト実行やセッションハイジャックなどの二次被害が懸念される。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXSS脆弱性、管理者権限での任意スクリプト実行が可能に

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9878】Photo Gallery by 10Web 1.8.30にXS...

WordPressプラグインのPhoto Gallery by 10Webにおいて、バージョン1.8.30以前の全バージョンでXSS脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが設定ページを通じて任意のスクリプトを注入できる問題が確認されている。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受ける可能性が高く、早急な対応が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5.0以前にXSS脆弱性、未認証攻撃者によるスクリプト実行の可能性

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-9667】Seriously Simple Podcasting 3.5....

WordPressプラグインSeriously Simple Podcasting 3.5.0以前のバージョンにReflected XSSの脆弱性が発見された。CVE-2024-9667として追跡されるこの脆弱性は、add_query_argパラメータの不適切なエスケープ処理に起因し、未認証の攻撃者が任意のWebスクリプトを実行可能。CVSS評価は6.1でMEDIUMレベルとされ、早急な対策が求められる。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃のリスクに警戒

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-25566】PingAMにオープンリダイレクトの脆弱性、フィッシング攻撃の...

Ping Identity社の認証管理ソフトウェアPingAMにおいて、オープンリダイレクトの脆弱性が発見された。この脆弱性は巧妙に細工されたリクエストによってリダイレクトURLの検証が適切に行われず、攻撃者が制御するサイトへのリダイレクトを可能にする。影響を受けるバージョンは7.5.0から0まで広範に及び、CVSS v4.0で5.1(中程度)と評価されている。

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻なXSS脆弱性、バージョン5.0.0未満のユーザーに影響

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻な...

WordPress用プラグインChurch Adminにおいて、バージョン5.0.0未満に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-50438として識別されるこの脆弱性は、CVSS 3.1で7.1(重要度:高)と評価されている。攻撃には利用者の操作が必要だが、攻撃の難易度は低く、任意のスクリプト実行によって情報漏洩などのリスクがある。早急なバージョン5.0.0へのアップデートが推奨される。

【CVE-2024-50438】WordPress用プラグインChurch Adminに深刻な...

WordPress用プラグインChurch Adminにおいて、バージョン5.0.0未満に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-50438として識別されるこの脆弱性は、CVSS 3.1で7.1(重要度:高)と評価されている。攻撃には利用者の操作が必要だが、攻撃の難易度は低く、任意のスクリプト実行によって情報漏洩などのリスクがある。早急なバージョン5.0.0へのアップデートが推奨される。

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサイトスクリプティングの脆弱性が発見、早急なアップデートを推奨

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサ...

WordPressプラグインのCozy Blocksにおいて、深刻なクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.4のHIGHレベルで、バージョン2.0.15以前が影響を受ける。攻撃者が悪意のあるスクリプトを埋め込み可能で、情報漏洩やセッションハイジャックのリスクがある。ユーザーには直ちにバージョン2.0.16へのアップデートが推奨される。

【CVE-2024-50441】WordPress用プラグインCozy Blocksにクロスサ...

WordPressプラグインのCozy Blocksにおいて、深刻なクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.4のHIGHレベルで、バージョン2.0.15以前が影響を受ける。攻撃者が悪意のあるスクリプトを埋め込み可能で、情報漏洩やセッションハイジャックのリスクがある。ユーザーには直ちにバージョン2.0.16へのアップデートが推奨される。

【CVE-2024-49702】WordPress用プラグインmyCred Elementor 1.2.6にXSS脆弱性が発見、アップデートによる対応が必要に

【CVE-2024-49702】WordPress用プラグインmyCred Elementor...

WordPressのページビルダープラグインElementorと連携して動作するmyCred Elementorのバージョン1.2.6以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSv3.1のベーススコアは6.5(ミディアム)であり、特権ユーザーによる悪意のあるスクリプト実行の可能性がある。開発チームは1.2.7でこの脆弱性を修正済みであり、早急なアップデートが推奨される。

【CVE-2024-49702】WordPress用プラグインmyCred Elementor...

WordPressのページビルダープラグインElementorと連携して動作するmyCred Elementorのバージョン1.2.6以前にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSv3.1のベーススコアは6.5(ミディアム)であり、特権ユーザーによる悪意のあるスクリプト実行の可能性がある。開発チームは1.2.7でこの脆弱性を修正済みであり、早急なアップデートが推奨される。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見、Contributor以上で任意スクリプト実行が可能に

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。

【CVE-2024-8627】Ultimate TinyMCE 5.7以前にXSS脆弱性が発見...

Wordfenceは2024年10月30日、WordPressプラグインのUltimate TinyMCEにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。バージョン5.7以前のfieldショートコードで入力検証が不十分であり、Contributorレベル以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能。CVSS v3.1で6.4(Medium)と評価され、該当ページにアクセスしたユーザーに影響を及ぼす可能性がある。