Tech Insights
【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...
IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。
【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...
IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。
【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...
OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。
【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...
OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。
【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性...
MITREがOpenSlides 4.2.5未満のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性を発見した。モデレーターノートやアジェンダトピックの入力時に表示されるテキストエディターでHTML要素の挿入が可能となっており、リンクの属性を通じてJavaScriptコードを実行できる状態にあることが判明。CVSSスコアは5.4(中程度)と評価されている。
【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性...
MITREがOpenSlides 4.2.5未満のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性を発見した。モデレーターノートやアジェンダトピックの入力時に表示されるテキストエディターでHTML要素の挿入が可能となっており、リンクの属性を通じてJavaScriptコードを実行できる状態にあることが判明。CVSSスコアは5.4(中程度)と評価されている。
【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...
WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。
【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...
WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。
【CVE-2025-28863】WordPressプラグインDelete Original I...
Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。
【CVE-2025-28863】WordPressプラグインDelete Original I...
Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。
【CVE-2025-28861】WP jQuery Persian Datepickerに深刻...
WordPressプラグインのWP jQuery Persian Datepickerにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSを引き起こす重大な脆弱性が発見された。CVE-2025-28861として識別されたこの脆弱性は、バージョン0.1.0以前に影響を及ぼし、CVSSスコア7.1のHIGHレベルと評価されている。特権不要で攻撃可能な点から、早急な対応が求められている。
【CVE-2025-28861】WP jQuery Persian Datepickerに深刻...
WordPressプラグインのWP jQuery Persian Datepickerにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSを引き起こす重大な脆弱性が発見された。CVE-2025-28861として識別されたこの脆弱性は、バージョン0.1.0以前に影響を及ぼし、CVSSスコア7.1のHIGHレベルと評価されている。特権不要で攻撃可能な点から、早急な対応が求められている。
【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...
Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。
【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...
Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。
【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...
GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。
【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...
GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。
【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....
Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。
【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....
Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。
【CVE-2025-2687】PHPGurukul eLearning System 1.0に...
PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。
【CVE-2025-2687】PHPGurukul eLearning System 1.0に...
PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。
【CVE-2025-2683】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。
【CVE-2025-2683】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。
【CVE-2025-2678】PHPGurukul Bank Locker Managemen...
PHPGurukul社のBank Locker Management System 1.0において、changeimage1.phpファイルに重大な脆弱性が発見された。CVE-2025-2678として識別されたこの脆弱性は、editidパラメータを介したSQLインジェクション攻撃を可能にし、認証なしでリモートからの攻撃が可能な状態だ。CVSSスコアは最新のバージョン4.0で6.9を記録しており、早急な対応が求められる。
【CVE-2025-2678】PHPGurukul Bank Locker Managemen...
PHPGurukul社のBank Locker Management System 1.0において、changeimage1.phpファイルに重大な脆弱性が発見された。CVE-2025-2678として識別されたこの脆弱性は、editidパラメータを介したSQLインジェクション攻撃を可能にし、認証なしでリモートからの攻撃が可能な状態だ。CVSSスコアは最新のバージョン4.0で6.9を記録しており、早急な対応が求められる。
【CVE-2025-2677】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のchangeidproof.phpファイルにSQLインジェクションの脆弱性が発見され、CVE-2025-2677として公開された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能な状態。特別な権限なしで実行可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースシステムに対する重大な脅威となっている。
【CVE-2025-2677】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のchangeidproof.phpファイルにSQLインジェクションの脆弱性が発見され、CVE-2025-2677として公開された。CVSSスコアは最大7.3を記録し、リモートからの攻撃が可能な状態。特別な権限なしで実行可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースシステムに対する重大な脅威となっている。
【CVE-2025-2676】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のadd-subadmin.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-2676として識別されるこの脆弱性は、sadminusername引数を通じて不正なSQLコマンドを実行可能で、CVSSスコアは最大7.5と評価されている。攻撃コードも公開されており、早急なセキュリティ対策が必要とされている。
【CVE-2025-2676】PHPGurukul Bank Locker Managemen...
PHPGurukul Bank Locker Management System 1.0のadd-subadmin.phpファイルにSQL injectionの脆弱性が発見された。CVE-2025-2676として識別されるこの脆弱性は、sadminusername引数を通じて不正なSQLコマンドを実行可能で、CVSSスコアは最大7.5と評価されている。攻撃コードも公開されており、早急なセキュリティ対策が必要とされている。
【CVE-2025-2674】PHPGurukul Bank Locker Managemen...
PHPGurukul社のBank Locker Management System 1.0のaboutus.phpファイルにSQL injection脆弱性が発見された。pagetitle引数の不適切な処理が原因で、認証なしでリモートからの攻撃が可能。CVSS 4.0で6.9、CVSS 3.1/3.0で7.3のスコアが付けられ、既に攻撃手法が公開されているため早急な対応が必要とされている。
【CVE-2025-2674】PHPGurukul Bank Locker Managemen...
PHPGurukul社のBank Locker Management System 1.0のaboutus.phpファイルにSQL injection脆弱性が発見された。pagetitle引数の不適切な処理が原因で、認証なしでリモートからの攻撃が可能。CVSS 4.0で6.9、CVSS 3.1/3.0で7.3のスコアが付けられ、既に攻撃手法が公開されているため早急な対応が必要とされている。
【CVE-2025-2673】code-projects Payroll Management...
code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。
【CVE-2025-2673】code-projects Payroll Management...
code-projects社のPayroll Management System 1.0において、home_employee.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。リモートからの攻撃が可能で、既に技術的詳細が公開されているため早急な対応が必要とされている。CVSSスコアは5.1(MEDIUM)と評価され、特権レベルは不要だがユーザーの操作が必要となる特徴がある。
【CVE-2025-2672】code-projects Payroll Management...
code-projects Payroll Management System 1.0のadd_deductions.phpファイルにおいて、bir引数に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-2672として識別されるこの脆弱性は、リモートからの攻撃が可能で、低権限でも実行できる特徴を持つ。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価され、現在は攻撃コードも公開された状態となっている。
【CVE-2025-2672】code-projects Payroll Management...
code-projects Payroll Management System 1.0のadd_deductions.phpファイルにおいて、bir引数に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-2672として識別されるこの脆弱性は、リモートからの攻撃が可能で、低権限でも実行できる特徴を持つ。CVSSスコアは最新のv4.0で5.3(MEDIUM)と評価され、現在は攻撃コードも公開された状態となっている。
【CVE-2025-2654】SourceCodester AC Repair and Ser...
SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。
【CVE-2025-2654】SourceCodester AC Repair and Ser...
SourceCodester社のAC Repair and Services System 1.0において、管理者向けサービス管理機能に重大な脆弱性が発見された。CVE-2025-2654として登録されたこの脆弱性は、SQLインジェクションを可能とし、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。リモートからの攻撃実行が可能で、すでに一般に公開されており早急な対応が必要となっている。
【CVE-2025-2650】PHPGurukul Medical Card Generati...
PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。
【CVE-2025-2650】PHPGurukul Medical Card Generati...
PHPGurukulのMedical Card Generation System 1.0のdownload-medical-cards.phpファイルにクロスサイトスクリプティング脆弱性が発見された。CVSSスコア5.1のMedium評価で、リモートからの攻撃が可能な状態。医療情報システムのセキュリティ管理における重要な警鐘となっており、早急な対策が求められている。既に公開されており攻撃に利用される可能性があるため、影響を受けるシステムの管理者は速やかな対応が推奨される。
【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...
westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。
【CVE-2025-2625】CicadasCMS 1.0にSQLインジェクションの脆弱性、リ...
westboy社のCicadasCMS 1.0において、/system/cms/content/page機能にSQLインジェクションの脆弱性が発見された。orderFieldとorderDirectionの引数操作によってリモートからの攻撃が可能となっており、exploitも公開されている。CVSSスコアは5.3で中程度だが、攻撃コードが入手可能な状態であることから、早急な対策が求められている。
【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...
aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。
【CVE-2025-2622】aizuda snail-job 1.4.0にデシリアライゼーシ...
aizuda snail-job 1.4.0のWorkflow-Task Management Moduleに重大な脆弱性が発見された。この脆弱性はgetRuntime関数のnodeExpressionパラメータの処理に関連し、デシリアライゼーションの問題を引き起こす。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録し、リモートからの攻撃が可能な状態であり、既に公開されているため早急な対応が必要とされている。
【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...
Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。
【CVE-2025-25068】Mattermostの複数バージョンでMFA認証バイパスの脆弱...
Mattermost社は2025年3月21日、同社製品の複数バージョンにおいてMFA認証をバイパス可能な重大な脆弱性(CVE-2025-25068)を発見したことを公開した。影響を受けるバージョンは10.4.x、10.3.x、9.11.x、10.5.xの一部で、CVSSスコアは7.5(High)と評価されている。プラグイン固有のルートへのAPIリクエストを通じて認証済みの攻撃者がMFA保護をバイパスできる問題が確認されており、速やかな更新が推奨される。
【CVE-2025-2384】Real Estate Property Management ...
code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。
【CVE-2025-2384】Real Estate Property Management ...
code-projects社のReal Estate Property Management System 1.0において、InsertCustomer.phpのパラメータ処理に重大な脆弱性が発見された。この脆弱性はSQLインジェクションに分類され、CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められる状況となっている。
【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...
WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。
【CVE-2025-2103】SoundRise Musicプラグインに深刻な認可の欠陥、管理...
WordPressプラグイン「SoundRise Music」のバージョン1.6.11以前において、認証済みユーザーによる権限昇格が可能な重大な脆弱性が発見された。ironMusic_ajax()関数における認可チェックの欠如により、サブスクライバー以上の権限を持つユーザーが任意のオプションを更新可能な状態となっており、管理者権限の取得も可能な状況であることが判明。CVSSスコア8.8と高い深刻度が示されている。
【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...
WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。
【CVE-2025-2025】GiveWPプラグイン3.22.0以前に認証回避の脆弱性、未認証...
WordPressの寄付管理プラグインGiveWPに認証回避の脆弱性が発見された。3.22.0以前のバージョンでgive_reports_earnings関数に適切な認証チェックが実装されておらず、未認証の攻撃者が収益レポートにアクセス可能な状態となっていた。本脆弱性はCVE-2025-2025として識別され、CVSS値6.5のMEDIUM評価。すでに修正パッチが公開されており、早急なアップデートが推奨される。
【CVE-2025-1802】HT Mega – Absolute Addons For El...
WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2025-1802】HT Mega – Absolute Addons For El...
WordPressプラグイン「HT Mega – Absolute Addons For Elementor」にストアド型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを挿入可能で、バージョン2.8.3以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...
WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。
【CVE-2025-1783】Gallery Styles 1.3.4以前のバージョンにXSS...
WordPressプラグインのGallery Stylesにおいて、バージョン1.3.4以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーがギャラリーブロックを介して任意のWebスクリプトを注入可能となり、CVSSスコア6.4のMedium評価とされている。早急なアップデートによる対応が推奨される。
WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...
Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。
WordPressプラグインTripetto 8.0.9以前にCSRF脆弱性、管理者権限で任意...
Wordfenceによって、WordPress用フォームビルダープラグインTripettoにCSRF脆弱性が発見された。バージョン8.0.9以前のすべてのバージョンが影響を受け、CVE-2025-1530として識別されている。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、任意のフォームデータを削除できる可能性がある。CVSSスコアは4.3(MEDIUM)と評価されている。
【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....
WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。
【CVE-2025-1504】WordPressプラグインPost Lockdown 4.0....
WordPressプラグインPost Lockdownのバージョン4.0.2以前に、認可機能の欠落による情報漏洩の脆弱性が発見された。この脆弱性はSubscriberレベル以上の権限を持つユーザーが、パスワード保護された投稿やプライベート投稿、下書き状態の投稿内容にアクセス可能になるもので、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。'pl_autocomplete'のAJAXアクションにおける投稿アクセス制限の不備が原因とされている。
【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...
MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。
【CVE-2025-1497】PlotAIにリモートコード実行の脆弱性、LLM出力の検証不足で...
MLJARが開発するPlotAIにリモートコード実行の脆弱性が発見された。LLM生成出力の検証が不十分なため、攻撃者が任意のPythonコードを実行可能な状態となっている。CVSS v4.0で9.3(CRITICAL)と評価される深刻な脆弱性だが、ベンダーは修正パッチのリリースを予定していない。影響を受けるのはバージョン0.0.6以前のすべてのバージョンとなる。