Tech Insights

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱性、管理者画面が攻撃対象に

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2024-13431】Simply Schedule Appointmentsにクロスサイトスクリプティングの脆弱性が発見、バージョン1.6.8.3以前に影響

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。

カスペルスキーが2024年のセキュリティ実績を発表、フィッシングサイトのブロック数が前年比26%増加で過去最多を記録

カスペルスキーが2024年のセキュリティ実績を発表、フィッシングサイトのブロック数が前年比26...

カスペルスキーは2024年のセキュリティ対策実績として、フィッシングサイトへのアクセスを8億9,300万回ブロックしたことを発表した。これは2023年比で26%増加しており、Booking、Airbnb、TikTok、Telegramなどの有名ブランドを装った不正なウェブサイトが主な対象となっている。また、悪意のあるメール添付ファイルを1億2,500万回以上ブロックし、全メールの約47%がスパムメールであることも判明した。

カスペルスキーが2024年のセキュリティ実績を発表、フィッシングサイトのブロック数が前年比26...

カスペルスキーは2024年のセキュリティ対策実績として、フィッシングサイトへのアクセスを8億9,300万回ブロックしたことを発表した。これは2023年比で26%増加しており、Booking、Airbnb、TikTok、Telegramなどの有名ブランドを装った不正なウェブサイトが主な対象となっている。また、悪意のあるメール添付ファイルを1億2,500万回以上ブロックし、全メールの約47%がスパムメールであることも判明した。

【CVE-2024-13734】Card Elements for Elementor 1.2.6にXSS脆弱性、Contributor権限で悪用可能に

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。

【CVE-2024-13734】Card Elements for Elementor 1.2...

WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョン1.2.3以前のユーザーに影響

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化と可視化を実現

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化...

株式会社スリーシェイクは統合セキュリティプラットフォーム「Securify」に生成AIを活用したOSINT機能を追加した。ドメイン・メールアドレス・企業情報を基に、企業内で把握されていないIT資産を自動で探索し可視化する機能を実現。既存のASMや脆弱性診断機能と連携することで、IT資産の可視化から資産管理、リスク検出まで統合的なセキュリティ対策が可能となる。

スリーシェイクがSecurifyに生成AI活用のOSINT機能を追加、シャドーIT対策の自動化...

株式会社スリーシェイクは統合セキュリティプラットフォーム「Securify」に生成AIを活用したOSINT機能を追加した。ドメイン・メールアドレス・企業情報を基に、企業内で把握されていないIT資産を自動で探索し可視化する機能を実現。既存のASMや脆弱性診断機能と連携することで、IT資産の可視化から資産管理、リスク検出まで統合的なセキュリティ対策が可能となる。

マネーフォワードエックスがBANK APPの機能を拡充、iTrust本人確認サービスの搭載で安全性が向上

マネーフォワードエックスがBANK APPの機能を拡充、iTrust本人確認サービスの搭載で安...

マネーフォワードエックスは2025年3月12日より、バンキングアプリ「BANK APP」に公共料金支払いと投資信託口座開設機能を追加する。また、サイバートラストの「iTrust本人確認サービス」を搭載し、マイナンバーカードのICチップ情報を読み取る「ワ方式」による本人確認を導入。栃木銀行での提供を開始し、他の導入金融機関にも順次展開予定。2027年4月の犯収法改正を見据えた対応となる。

マネーフォワードエックスがBANK APPの機能を拡充、iTrust本人確認サービスの搭載で安...

マネーフォワードエックスは2025年3月12日より、バンキングアプリ「BANK APP」に公共料金支払いと投資信託口座開設機能を追加する。また、サイバートラストの「iTrust本人確認サービス」を搭載し、マイナンバーカードのICチップ情報を読み取る「ワ方式」による本人確認を導入。栃木銀行での提供を開始し、他の導入金融機関にも順次展開予定。2027年4月の犯収法改正を見据えた対応となる。

GMOブランドセキュリティがなりすまし対策シールを提供開始、VMC技術でセキュリティ対策の可視化を実現

GMOブランドセキュリティがなりすまし対策シールを提供開始、VMC技術でセキュリティ対策の可視...

GMOブランドセキュリティ株式会社は、「GMO安心可視化サイトシール」の一環として「GMOなりすまし対策シール」の提供を開始した。VMC技術を活用したこのサービスは、認証局による実在性確認とドメイン認証、商標認証を組み合わせることで、正規サイトであることを証明し、フィッシングやなりすましサイトからの保護を実現する。セキュリティ対策の可視化により、企業のブランド価値向上と消費者の安全なオンライン取引環境の構築を支援するものだ。

GMOブランドセキュリティがなりすまし対策シールを提供開始、VMC技術でセキュリティ対策の可視...

GMOブランドセキュリティ株式会社は、「GMO安心可視化サイトシール」の一環として「GMOなりすまし対策シール」の提供を開始した。VMC技術を活用したこのサービスは、認証局による実在性確認とドメイン認証、商標認証を組み合わせることで、正規サイトであることを証明し、フィッシングやなりすましサイトからの保護を実現する。セキュリティ対策の可視化により、企業のブランド価値向上と消費者の安全なオンライン取引環境の構築を支援するものだ。

【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにXSS脆弱性が発見、バージョン3.1.5以前のユーザーに影響

【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...

WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。

【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...

WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサイトスクリプティングの脆弱性、投稿者権限で悪用の可能性

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画面のニュース編集機能に深刻な影響

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画...

ftcms 2.1のadmin/index.php/news/editファイルにおいて、title引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(4.8)と評価されているものの、exploitコードが公開済みで、開発元の対応が見られない状況だ。管理者権限を持つユーザーの操作を必要とするが、複数のパラメータにも影響が及ぶ可能性が指摘されている。

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画...

ftcms 2.1のadmin/index.php/news/editファイルにおいて、title引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(4.8)と評価されているものの、exploitコードが公開済みで、開発元の対応が見られない状況だ。管理者権限を持つユーザーの操作を必要とするが、複数のパラメータにも影響が及ぶ可能性が指摘されている。

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの深刻化を警告

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの...

Netskope Threat Labsの調査により、金融サービス業界における個人向けアプリと生成AIの使用状況が明らかになった。従業員の13%が機密データを個人向けクラウドアプリにアップロードし、95%の組織が生成AIアプリを使用している。また、毎月約1.5%のユーザーがフィッシングやマルウェアの危険にさらされており、包括的なセキュリティ対策の必要性が指摘されている。

Netskopeが金融業界の個人用アプリと生成AIの利用実態を調査、データセキュリティリスクの...

Netskope Threat Labsの調査により、金融サービス業界における個人向けアプリと生成AIの使用状況が明らかになった。従業員の13%が機密データを個人向けクラウドアプリにアップロードし、95%の組織が生成AIアプリを使用している。また、毎月約1.5%のユーザーがフィッシングやマルウェアの危険にさらされており、包括的なセキュリティ対策の必要性が指摘されている。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆弱性、未認証攻撃者によるスクリプト実行の危険性

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order Notificationsにクロスサイトスクリプティングの脆弱性、バージョン3.7.8以前に影響

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ機能バイパスの脆弱性、深刻度は中程度と評価

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョンに深刻なXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Product Filtersにクロスサイトスクリプティングの脆弱性、非認証での攻撃に注意

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Prod...

WordPressプラグインのAdvanced AJAX Product Filtersにおいて、バージョン1.6.8.1以前に影響を及ぼすリフレクティブXSSの脆弱性が発見された。CVE-2025-1505として識別されるこの脆弱性は、nonceパラメータの処理における入力値の検証と出力のエスケープの不備に起因しており、非認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Prod...

WordPressプラグインのAdvanced AJAX Product Filtersにおいて、バージョン1.6.8.1以前に影響を及ぼすリフレクティブXSSの脆弱性が発見された。CVE-2025-1505として識別されるこの脆弱性は、nonceパラメータの処理における入力値の検証と出力のエスケープの不備に起因しており、非認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮き彫りに

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆弱性、バージョン3.7.1で修正完了

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプティングの脆弱性が発見、中程度の深刻度で対応が必要に

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。

【CVE-2025-1332】FastCMS 0.1.5以前のバージョンでクロスサイトスクリプ...

セキュリティ研究機関VulDBは、FastCMSのバージョン0.1.5以前に存在するクロスサイトスクリプティング脆弱性を公開した。Template Menuコンポーネントに影響を与えるこの脆弱性は、リモートからの攻撃が可能でCVSSスコア4.8を記録。高い特権レベルと利用者の操作を必要とするものの、情報の整合性への影響が懸念される。影響を受けるバージョンは0.1.0から0.1.5まで。