Tech Insights

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXSS脆弱性、ベンダー対応の遅れが深刻な問題に

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のURL Filtering Submenuに、クロスサイトスクリプティングの脆弱性が発見された。url_IP引数の操作によってリモートから攻撃が可能で、CVSSスコア4.8(MEDIUM)と評価されている。既に脆弱性情報と攻撃コードが公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いており、早急な対策が求められている。

【CVE-2025-1613】FiberHome AN5506-01A ONU GPONにXS...

FiberHome AN5506-01A ONU GPON RP2511のURL Filtering Submenuに、クロスサイトスクリプティングの脆弱性が発見された。url_IP引数の操作によってリモートから攻撃が可能で、CVSSスコア4.8(MEDIUM)と評価されている。既に脆弱性情報と攻撃コードが公開されているにもかかわらず、ベンダーの対応が行われていない状況が続いており、早急な対策が求められている。

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

Capy株式会社の生体認証ソリューション(パスキー)が、ユナイテッドアローズの自社ECサイト公式アプリに導入された。BIPROGYの「Omni-Base for DIGITAL'ATELIER」のオプション機能として実装され、アパレル業界初の採用となる。パスワードレス認証により、フィッシング詐欺や不正アクセスのリスクを大幅に低減し、安全で快適なオンラインショッピング環境を実現する。

ユナイテッドアローズがCapyの生体認証を導入、アパレル業界初のパスキーでセキュリティ強化へ

Capy株式会社の生体認証ソリューション(パスキー)が、ユナイテッドアローズの自社ECサイト公式アプリに導入された。BIPROGYの「Omni-Base for DIGITAL'ATELIER」のオプション機能として実装され、アパレル業界初の採用となる。パスワードレス認証により、フィッシング詐欺や不正アクセスのリスクを大幅に低減し、安全で快適なオンラインショッピング環境を実現する。

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前にXSS脆弱性、Contributor権限で任意スクリプト実行の可能性

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前に...

WordPressプラグインのNGG Smart Image Searchにおいて、バージョン3.2.1以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした一般ユーザーのブラウザ上でスクリプトが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前に...

WordPressプラグインのNGG Smart Image Searchにおいて、バージョン3.2.1以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした一般ユーザーのブラウザ上でスクリプトが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-13849】Cookie Notice Bar 1.3.0にXSS脆弱性、マルチサイト環境での影響に注意

【CVE-2024-13849】Cookie Notice Bar 1.3.0にXSS脆弱性、...

WordPressプラグインのCookie Notice Barにおいて、バージョン1.3.0以前に重大な脆弱性が発見された。この脆弱性はCVE-2024-13849として識別され、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受け、CVSSスコアは5.5(MEDIUM)と評価されている。

【CVE-2024-13849】Cookie Notice Bar 1.3.0にXSS脆弱性、...

WordPressプラグインのCookie Notice Barにおいて、バージョン1.3.0以前に重大な脆弱性が発見された。この脆弱性はCVE-2024-13849として識別され、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能。特にマルチサイトインストールやunfiltered_htmlが無効化された環境で影響を受け、CVSSスコアは5.5(MEDIUM)と評価されている。

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS脆弱性が発見、Contributor権限で悪用可能に

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS...

WordPressプラグイン「Mini Course Generator」のバージョン1.0.5以前に、ストアドXSS脆弱性が発見された。Wordfenceが2025年2月21日に公開したこの脆弱性は、CVE-2024-13672として識別され、CVSS 3.1で6.4(MEDIUM)と評価されている。Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能で、早急な対策が必要とされている。

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS...

WordPressプラグイン「Mini Course Generator」のバージョン1.0.5以前に、ストアドXSS脆弱性が発見された。Wordfenceが2025年2月21日に公開したこの脆弱性は、CVE-2024-13672として識別され、CVSS 3.1で6.4(MEDIUM)と評価されている。Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能で、早急な対策が必要とされている。

【CVE-2025-1591】SourceCodester Employee Management System 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2025-1591】SourceCodester Employee Manageme...

VulDBが2025年2月23日に公開したSourceCodester Employee Management System 1.0の脆弱性情報によると、Department Pageコンポーネントのdepartment.phpファイルにクロスサイトスクリプティングの脆弱性が存在する。Department Name引数の操作により遠隔から攻撃が可能で、CVSSスコアは最大4.8点のミディアムレベル。高い特権レベルとユーザーの操作が必要だが、攻撃の複雑さは低く、情報の完全性への影響が懸念される。

【CVE-2025-1591】SourceCodester Employee Manageme...

VulDBが2025年2月23日に公開したSourceCodester Employee Management System 1.0の脆弱性情報によると、Department Pageコンポーネントのdepartment.phpファイルにクロスサイトスクリプティングの脆弱性が存在する。Department Name引数の操作により遠隔から攻撃が可能で、CVSSスコアは最大4.8点のミディアムレベル。高い特権レベルとユーザーの操作が必要だが、攻撃の複雑さは低く、情報の完全性への影響が懸念される。

【CVE-2025-1577】code-projects Blood Bank System 1.0にXSS脆弱性、医療データセキュリティに警鐘

【CVE-2025-1577】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のprostatus.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1の中程度の深刻度だが、リモートからの攻撃実行が可能で、特権とユーザーの関与があれば攻撃が成功する可能性がある。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-1577】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のprostatus.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1の中程度の深刻度だが、リモートからの攻撃実行が可能で、特権とユーザーの関与があれば攻撃が成功する可能性がある。医療システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-1586】code-projects Blood Bank System 1.0にクロスサイトスクリプティングの脆弱性、医療システムのセキュリティリスクが浮き彫りに

【CVE-2025-1586】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のA-.phpファイルにおいて、Bloodname引数を操作することで発動するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1586として識別されたこの脆弱性は、認証済みユーザーによる遠隔からの攻撃が可能で、最大CVSSスコア5.1を記録。既に公開されており、早急な対策が求められている。

【CVE-2025-1586】code-projects Blood Bank System ...

code-projects Blood Bank System 1.0のA-.phpファイルにおいて、Bloodname引数を操作することで発動するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1586として識別されたこの脆弱性は、認証済みユーザーによる遠隔からの攻撃が可能で、最大CVSSスコア5.1を記録。既に公開されており、早急な対策が求められている。

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティングの脆弱性、Contributor権限で悪用の可能性

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティン...

WordPressプラグインSimple Map No Apiのバージョン1.9以前に深刻な格納型XSS脆弱性が発見された。Contributor以上の権限を持つユーザーがwidth属性を介して悪意のあるスクリプトを注入可能で、サイト訪問者のブラウザ上で実行される危険性がある。CVSSスコアは6.4で、攻撃の複雑さは低いものの特権レベルが必要とされている。

【CVE-2024-13565】Simple Map No Apiにクロスサイトスクリプティン...

WordPressプラグインSimple Map No Apiのバージョン1.9以前に深刻な格納型XSS脆弱性が発見された。Contributor以上の権限を持つユーザーがwidth属性を介して悪意のあるスクリプトを注入可能で、サイト訪問者のブラウザ上で実行される危険性がある。CVSSスコアは6.4で、攻撃の複雑さは低いものの特権レベルが必要とされている。

【CVE-2024-13802】WordPressプラグインBandsintown Events 1.3.1に深刻な脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13802】WordPressプラグインBandsintown Event...

WordPressプラグインBandsintown Eventsにおいて、バージョン1.3.1以下に重大な脆弱性が発見された。この脆弱性はCVE-2024-13802として識別され、入力値の不十分なサニタイズとエスケープ処理に起因するクロスサイトスクリプティング(XSS)の問題である。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13802】WordPressプラグインBandsintown Event...

WordPressプラグインBandsintown Eventsにおいて、バージョン1.3.1以下に重大な脆弱性が発見された。この脆弱性はCVE-2024-13802として識別され、入力値の不十分なサニタイズとエスケープ処理に起因するクロスサイトスクリプティング(XSS)の問題である。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイトのセキュリティ強化に貢献

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイト...

日立システムズは2025年2月27日、クラウド型Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」に脆弱性診断機能をオプションとして追加すると発表した。Webサイトの脆弱性を自動で診断し、フィッシングサイトなどの不正利用を防止する。基本ライセンス料金は月額3万円から、オプション追加費用は1FQDNあたり月額1万5000円からとなっている。

日立システムズがGRED Web改ざんチェック Cloudに脆弱性診断機能を追加、Webサイト...

日立システムズは2025年2月27日、クラウド型Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」に脆弱性診断機能をオプションとして追加すると発表した。Webサイトの脆弱性を自動で診断し、フィッシングサイトなどの不正利用を防止する。基本ライセンス料金は月額3万円から、オプション追加費用は1FQDNあたり月額1万5000円からとなっている。

Capyが金融庁と連携しパスキー認証セミナーを開催、セキュリティとUI両立の未来を議論

Capyが金融庁と連携しパスキー認証セミナーを開催、セキュリティとUI両立の未来を議論

Capy株式会社は2025年3月7日、金融庁やフィンテック企業の有識者と連携し、パスキー認証の最新トレンドと導入事例を解説するセミナーを開催する。グローバルで150億以上のアカウントが対応済みとなり、国内でもJCBが2025年秋の導入を発表するなど、金融業界での本格採用が進んでいる。本セミナーではセキュリティとユーザビリティの両立に向けた実践的なヒントを提供する。

Capyが金融庁と連携しパスキー認証セミナーを開催、セキュリティとUI両立の未来を議論

Capy株式会社は2025年3月7日、金融庁やフィンテック企業の有識者と連携し、パスキー認証の最新トレンドと導入事例を解説するセミナーを開催する。グローバルで150億以上のアカウントが対応済みとなり、国内でもJCBが2025年秋の導入を発表するなど、金融業界での本格採用が進んでいる。本セミナーではセキュリティとユーザビリティの両立に向けた実践的なヒントを提供する。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1597】Best Church Management Software 1.0にXSS脆弱性、教会管理システムのセキュリティに警鐘

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...

WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...

WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...

WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...

WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認証済みユーザーによるXSS攻撃のリスクが発覚

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...

WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...

WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。

【CVE-2024-13581】WordPressプラグインSimple Charts 1.0に深刻なXSS脆弱性、早急な対応が必要に

【CVE-2024-13581】WordPressプラグインSimple Charts 1.0...

WordPressプラグインSimple Charts 1.0以下のバージョンにXSS脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、ページ閲覧者の環境で実行される危険性がある。CVSSスコア6.4のMedium評価だが、マルチユーザーサイトでは特に重大なセキュリティリスクとなる可能性が高い。管理者は早急な対応が求められている。

【CVE-2024-13581】WordPressプラグインSimple Charts 1.0...

WordPressプラグインSimple Charts 1.0以下のバージョンにXSS脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、ページ閲覧者の環境で実行される危険性がある。CVSSスコア6.4のMedium評価だが、マルチユーザーサイトでは特に重大なセキュリティリスクとなる可能性が高い。管理者は早急な対応が求められている。

日立システムズがGRED Web改ざんチェック Cloudにぜい弱性診断機能を追加、Webサイトのセキュリティ強化を実現

日立システムズがGRED Web改ざんチェック Cloudにぜい弱性診断機能を追加、Webサイ...

日立システムズは、Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」にぜい弱性診断機能をオプションとして追加。クラウド上で毎日自動的に診断を実施し、フィッシングサイトなどの不正利用を防止する。月額費用は1FQDN当たり15,000円で、基本ライセンス料金30,000円が別途必要。セキュリティ環境の変化に応じて診断項目の拡充を予定している。

日立システムズがGRED Web改ざんチェック Cloudにぜい弱性診断機能を追加、Webサイ...

日立システムズは、Webサイト改ざん検知ソリューション「GRED Web改ざんチェック Cloud」にぜい弱性診断機能をオプションとして追加。クラウド上で毎日自動的に診断を実施し、フィッシングサイトなどの不正利用を防止する。月額費用は1FQDN当たり15,000円で、基本ライセンス料金30,000円が別途必要。セキュリティ環境の変化に応じて診断項目の拡充を予定している。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery 1.3に深刻な脆弱性、認証済みユーザーによるXSS攻撃が可能に

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

【CVE-2025-1195】code-projects Real Estate Property Management System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリス

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1195】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、/Admin/EditCategoryファイルのCategoryId引数に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1(MEDIUM)と評価されており、リモートからの攻撃が可能で特別な権限も不要なため、早急な対応が必要とされている。この脆弱性はCWE-79とCWE-94に分類され、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-13644】DethemeKit For Elementor 2.1.8にXSS脆弱性、Contributor権限で攻撃可能な深刻な問題が発覚

【CVE-2024-13644】DethemeKit For Elementor 2.1.8に...

WordPressプラグインのDethemeKit For Elementorにおいて、De Galleryウィジェットに関連する重大な脆弱性が発見された。CVE-2024-13644として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが任意のウェブスクリプトを注入できる可能性があり、CVSSにより深刻度6.4と評価されている。影響を受けるのはバージョン2.1.8以前の全バージョンで、早急な対応が求められる。

【CVE-2024-13644】DethemeKit For Elementor 2.1.8に...

WordPressプラグインのDethemeKit For Elementorにおいて、De Galleryウィジェットに関連する重大な脆弱性が発見された。CVE-2024-13644として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーが任意のウェブスクリプトを注入できる可能性があり、CVSSにより深刻度6.4と評価されている。影響を受けるのはバージョン2.1.8以前の全バージョンで、早急な対応が求められる。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redirect脆弱性、悪意のあるサイトへの誘導が可能に

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグインに深刻な脆弱性、認証済みユーザーによる任意のスクリプト実行が可能に

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

KnowBe4がCRN Security 100 Listに選出、AIを活用したセキュリティトレーニングの革新性が高評価

KnowBe4がCRN Security 100 Listに選出、AIを活用したセキュリティト...

KnowBe4が2025年度CRN Security 100 Listのセキュリティオペレーション/リスク&脅威インテリジェンス部門に選出された。HRM+プラットフォームによるセキュリティ意識向上トレーニング、フィッシングシミュレーション、リアルタイムコーチング機能の統合的な提供が評価され、特にAIを活用した新たな脅威への対応力が注目を集めている。

KnowBe4がCRN Security 100 Listに選出、AIを活用したセキュリティト...

KnowBe4が2025年度CRN Security 100 Listのセキュリティオペレーション/リスク&脅威インテリジェンス部門に選出された。HRM+プラットフォームによるセキュリティ意識向上トレーニング、フィッシングシミュレーション、リアルタイムコーチング機能の統合的な提供が評価され、特にAIを活用した新たな脅威への対応力が注目を集めている。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、教育プラットフォームのセキュリティ強化が急務に

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13850】WordPressプラグインSimple add pages or postsにXSS脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。