Tech Insights
【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。
【CVE-2025-2627】PHPGurukulのArt Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、/admin/contactus.phpファイルのpagetitleパラメータを介したSQLインジェクションの脆弱性が発見された。CVSSスコア6.3のMedium評価で、リモートからの攻撃が可能な状態となっている。既に脆弱性情報が公開されており、早急な対策が求められる。機密性、完全性、可用性への影響はいずれもLowレベルとされている。
【CVE-2025-2646】PHPGurukul Art Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、admin-profile.phpファイルのcontactnumberパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特別な権限も不要。既に詳細な技術情報が公開されており、早急な対応が求められている。複数のパラメータにも同様の脆弱性が存在する可能性が指摘されている。
【CVE-2025-2646】PHPGurukul Art Gallery Managemen...
PHPGurukulのArt Gallery Management System 1.0において、admin-profile.phpファイルのcontactnumberパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能であり特別な権限も不要。既に詳細な技術情報が公開されており、早急な対応が求められている。複数のパラメータにも同様の脆弱性が存在する可能性が指摘されている。
【CVE-2025-2642】PHPGurukul Art Gallery Managemen...
PHPGurukul Art Gallery Management System 1.0の管理者画面において、SQLインジェクションの脆弱性が発見された。CVE-2025-2642として登録されたこの脆弱性は、edit-art-product-detail.phpのパラメータ処理に起因し、CVSS3.1で7.3(High)と評価されている。リモートから攻撃可能で既に公開されているため、早急な対応が必要とされている。
【CVE-2025-2642】PHPGurukul Art Gallery Managemen...
PHPGurukul Art Gallery Management System 1.0の管理者画面において、SQLインジェクションの脆弱性が発見された。CVE-2025-2642として登録されたこの脆弱性は、edit-art-product-detail.phpのパラメータ処理に起因し、CVSS3.1で7.3(High)と評価されている。リモートから攻撃可能で既に公開されているため、早急な対応が必要とされている。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
【CVE-2025-2638】JIZHICMSに認可の脆弱性が発見、バージョン1.7.0以前の...
コンテンツ管理システムJIZHICMSのバージョン1.7.0以前に重大な認可の脆弱性が発見された。CVE-2025-2638として追跡されるこの脆弱性は、記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、ishot引数の操作により不適切な認可が発生する可能性がある。CVSSスコアは5.3(中程度)と評価され、リモートからの攻撃が可能であることが確認されている。
【CVE-2025-31084】WordPress用プラグインSunshine Photo C...
Patchstack OÜ社が2025年4月1日、WordPress用プラグインSunshine Photo Cartにおける重大な脆弱性を公開した。CVE-2025-31084として識別されるこの脆弱性は、バージョン3.4.10以前に存在する信頼できないデータのデシリアライゼーションの問題で、CVSSスコア9.8のクリティカルな影響度を持つ。認証不要で攻撃が可能であり、早急なアップデートが推奨される。
【CVE-2025-31084】WordPress用プラグインSunshine Photo C...
Patchstack OÜ社が2025年4月1日、WordPress用プラグインSunshine Photo Cartにおける重大な脆弱性を公開した。CVE-2025-31084として識別されるこの脆弱性は、バージョン3.4.10以前に存在する信頼できないデータのデシリアライゼーションの問題で、CVSSスコア9.8のクリティカルな影響度を持つ。認証不要で攻撃が可能であり、早急なアップデートが推奨される。
Progateがエンジニア採用プラットフォームProgate Prospectsを一般公開、学...
株式会社Progateは、エンジニア志望学生と企業をつなぐ採用プラットフォーム「Progate Prospects」の一般提供を2025年4月2日より開始した。Progate Pathの学習データを活用し、従来の学歴偏重な採用から脱却。技術力と学習意欲を可視化することで、AI時代に対応したエンジニア育成と採用課題の解決を目指している。
Progateがエンジニア採用プラットフォームProgate Prospectsを一般公開、学...
株式会社Progateは、エンジニア志望学生と企業をつなぐ採用プラットフォーム「Progate Prospects」の一般提供を2025年4月2日より開始した。Progate Pathの学習データを活用し、従来の学歴偏重な採用から脱却。技術力と学習意欲を可視化することで、AI時代に対応したエンジニア育成と採用課題の解決を目指している。
ライフイズテックがEnglish × IT Campを開催、中高生向けに英語でIT技術と起業家...
ライフイズテック株式会社は2025年5月3日から4日間、中学生・高校生向けの特別プログラム「English × IT Camp」を東京都内で開催する。元MIT客員研究者とミネルバ大学の学生とともに英語でITと起業家精神を学び、iPhoneアプリ開発やゲーム制作など4つのコースから選択して実践的なスキルを習得できる。日本人スタッフのサポートもあり、英語初心者でも安心して参加可能だ。
ライフイズテックがEnglish × IT Campを開催、中高生向けに英語でIT技術と起業家...
ライフイズテック株式会社は2025年5月3日から4日間、中学生・高校生向けの特別プログラム「English × IT Camp」を東京都内で開催する。元MIT客員研究者とミネルバ大学の学生とともに英語でITと起業家精神を学び、iPhoneアプリ開発やゲーム制作など4つのコースから選択して実践的なスキルを習得できる。日本人スタッフのサポートもあり、英語初心者でも安心して参加可能だ。
GMO AIRがヒューマノイドロボットの人材派遣型サービスを開始、エンターテインメントから実用...
GMO AI&ロボティクス商事が2025年4月3日より最新型ヒューマノイドロボットの人材派遣型サービスを開始した。顧客ニーズに合わせた動作プログラムを組み込み、企業イベントや展示会、接客シーンなど様々な場面での活用を想定している。中長期的にはサービス業や製造業、家事支援・介護補助分野への展開も視野に入れており、労働力不足や少子高齢化といった社会課題の解決に寄与することを目指す。
GMO AIRがヒューマノイドロボットの人材派遣型サービスを開始、エンターテインメントから実用...
GMO AI&ロボティクス商事が2025年4月3日より最新型ヒューマノイドロボットの人材派遣型サービスを開始した。顧客ニーズに合わせた動作プログラムを組み込み、企業イベントや展示会、接客シーンなど様々な場面での活用を想定している。中長期的にはサービス業や製造業、家事支援・介護補助分野への展開も視野に入れており、労働力不足や少子高齢化といった社会課題の解決に寄与することを目指す。
スリーシェイクのReckonerがバクラクとAPI連携を開始、請求書や経費データの自動連携機能を実装
スリーシェイクが提供するクラウド型データ連携ツール「Reckoner」が、LayerX社の業務効率化クラウドサービス「バクラク」とのAPI連携を開始。請求書や経費データの自動連携が可能となり、SmartHRやカオナビなどの人事システムとの従業員情報自動同期にも対応。業務効率の向上と人的ミスの削減、コスト削減を実現する。
スリーシェイクのReckonerがバクラクとAPI連携を開始、請求書や経費データの自動連携機能を実装
スリーシェイクが提供するクラウド型データ連携ツール「Reckoner」が、LayerX社の業務効率化クラウドサービス「バクラク」とのAPI連携を開始。請求書や経費データの自動連携が可能となり、SmartHRやカオナビなどの人事システムとの従業員情報自動同期にも対応。業務効率の向上と人的ミスの削減、コスト削減を実現する。
エクセルソフトがJFrog MLの販売を開始、AIデリバリーの効率化とセキュリティ強化を実現
エクセルソフト株式会社は、JFrog社が提供するDevOps/DevSecOps/MLOpsプラットフォーム「JFrog ML」の販売を2025年4月3日より開始した。QWAK.aiの技術を基に開発されたJFrog MLは、AIセキュリティを備えたMLOpsを推進し、Hugging Face、AWS SageMaker、DatabricksのMLflow、NVIDIA NIMとの統合により、企業全体でのAIアプリケーション開発とデプロイを効率化する。
エクセルソフトがJFrog MLの販売を開始、AIデリバリーの効率化とセキュリティ強化を実現
エクセルソフト株式会社は、JFrog社が提供するDevOps/DevSecOps/MLOpsプラットフォーム「JFrog ML」の販売を2025年4月3日より開始した。QWAK.aiの技術を基に開発されたJFrog MLは、AIセキュリティを備えたMLOpsを推進し、Hugging Face、AWS SageMaker、DatabricksのMLflow、NVIDIA NIMとの統合により、企業全体でのAIアプリケーション開発とデプロイを効率化する。
ゲームクリエイターズギルドがBitSummit Game Jam 2025の開催を発表、学生ク...
ゲームクリエイターズギルドは、インディーゲーム展示会BitSummitと連携してBitSummit Game Jam 2025を開催する。3ヶ月間のロングランゲームジャムとして実施され、複数学校の参加者がシャッフルされたチームでゲーム制作に取り組む。制作された作品は2025年7月のBitSummit the 13th Summer of Yokaiで展示される予定だ。エントリー締切は4月11日23:59となっている。
ゲームクリエイターズギルドがBitSummit Game Jam 2025の開催を発表、学生ク...
ゲームクリエイターズギルドは、インディーゲーム展示会BitSummitと連携してBitSummit Game Jam 2025を開催する。3ヶ月間のロングランゲームジャムとして実施され、複数学校の参加者がシャッフルされたチームでゲーム制作に取り組む。制作された作品は2025年7月のBitSummit the 13th Summer of Yokaiで展示される予定だ。エントリー締切は4月11日23:59となっている。
カカクコムが全エンジニアにAIエディタCursorを導入、開発効率の大幅な向上とAIネイティブ...
カカクコムは開発体制の強化とサービス品質向上を目的に、Anysphere社のAIコードエディタCursorを全エンジニア約500人に導入した。ChatGPTなどのAIモデルを搭載したCursorにより、コードの自動生成やデバッグ支援、ドキュメント作成の効率化を実現。プロダクトマネージャーやデザイナーへの展開も検討しており、組織全体でのAIリテラシー向上を目指す。
カカクコムが全エンジニアにAIエディタCursorを導入、開発効率の大幅な向上とAIネイティブ...
カカクコムは開発体制の強化とサービス品質向上を目的に、Anysphere社のAIコードエディタCursorを全エンジニア約500人に導入した。ChatGPTなどのAIモデルを搭載したCursorにより、コードの自動生成やデバッグ支援、ドキュメント作成の効率化を実現。プロダクトマネージャーやデザイナーへの展開も検討しており、組織全体でのAIリテラシー向上を目指す。
MicrosoftがPowerToys v0.90.0をリリース、新世代Command Pal...
MicrosoftはPowerToys v0.90.0を公開し、PowerToys Runの後継となる新機能「Command Palette」を導入した。拡張性を重視した設計により、プラグインによる機能拡張が可能になり、WinGetパッケージのインストールにも対応。さらにColor PickerのWPF UI刷新やPeekのファイル削除機能など、ユーザビリティの向上を実現している。
MicrosoftがPowerToys v0.90.0をリリース、新世代Command Pal...
MicrosoftはPowerToys v0.90.0を公開し、PowerToys Runの後継となる新機能「Command Palette」を導入した。拡張性を重視した設計により、プラグインによる機能拡張が可能になり、WinGetパッケージのインストールにも対応。さらにColor PickerのWPF UI刷新やPeekのファイル削除機能など、ユーザビリティの向上を実現している。
Android端末ミラーリングツールscrcpy v3.2がリリース、8種類の新オーディオソー...
GenymobileがAndroid端末ミラーリングツール「scrcpy」のv3.2を公開。マイクの未処理音声やビデオ録画用の調整済み音声など8種類の新しいオーディオソースを追加し、用途に応じた細やかな音声キャプチャーが可能に。Android 15/16での不具合を修正し、古いLinuxディストリビューションやmacOSとの互換性も向上。音声通話録音やライブパフォーマンス向けの機能も実装され、より幅広い用途での活用が期待される。
Android端末ミラーリングツールscrcpy v3.2がリリース、8種類の新オーディオソー...
GenymobileがAndroid端末ミラーリングツール「scrcpy」のv3.2を公開。マイクの未処理音声やビデオ録画用の調整済み音声など8種類の新しいオーディオソースを追加し、用途に応じた細やかな音声キャプチャーが可能に。Android 15/16での不具合を修正し、古いLinuxディストリビューションやmacOSとの互換性も向上。音声通話録音やライブパフォーマンス向けの機能も実装され、より幅広い用途での活用が期待される。
住友電工情報システムが楽々Framework3 Ver.3.2.3を発表、ダッシュボード機能の...
住友電工情報システム株式会社が、ローコード開発基盤「楽々Framework3」の新バージョンVer.3.2.3を2025年4月18日より販売開始すると発表した。今回のバージョンでは、受注高や売上高、コストなどの様々なデータを複数の表やグラフでひとつの画面にまとめて表示できるダッシュボード機能を搭載。データの集約や分析にかかる時間を大幅に削減し、経営層から業務担当者まで幅広いユーザーの迅速な意思決定を支援する。
住友電工情報システムが楽々Framework3 Ver.3.2.3を発表、ダッシュボード機能の...
住友電工情報システム株式会社が、ローコード開発基盤「楽々Framework3」の新バージョンVer.3.2.3を2025年4月18日より販売開始すると発表した。今回のバージョンでは、受注高や売上高、コストなどの様々なデータを複数の表やグラフでひとつの画面にまとめて表示できるダッシュボード機能を搭載。データの集約や分析にかかる時間を大幅に削減し、経営層から業務担当者まで幅広いユーザーの迅速な意思決定を支援する。
テクマトリックスがUnderstand 7.0日本語版を販売開始、VSCode連携と生成AI活...
テクマトリックス株式会社が米Scientific Toolworks社開発のソフトウェア解析ツール「Understand 7.0」日本語版の販売を開始した。VSCode拡張機能の追加により開発環境との連携が強化され、Java SpringフレームワークのDI解析にも対応。さらに生成AI連携機能によりコード要素の自動説明生成が可能になり、開発効率の向上が期待される。
テクマトリックスがUnderstand 7.0日本語版を販売開始、VSCode連携と生成AI活...
テクマトリックス株式会社が米Scientific Toolworks社開発のソフトウェア解析ツール「Understand 7.0」日本語版の販売を開始した。VSCode拡張機能の追加により開発環境との連携が強化され、Java SpringフレームワークのDI解析にも対応。さらに生成AI連携機能によりコード要素の自動説明生成が可能になり、開発効率の向上が期待される。
CTCとJijが量子コンピューティング分野で協業、Cubit Xの機能強化で開発効率が大幅に向上
伊藤忠テクノソリューションズ株式会社が量子コンピューター向けソフトウェア開発のJijと協業を開始。量子アルゴリズム開発プラットフォーム「JijZept」を国内で初めて提供し、量子コンピューティング活用支援サービス「Cubit X」の機能を強化。開発期間の最大70%短縮を実現し、3年間で30億円の売上を目指す。
CTCとJijが量子コンピューティング分野で協業、Cubit Xの機能強化で開発効率が大幅に向上
伊藤忠テクノソリューションズ株式会社が量子コンピューター向けソフトウェア開発のJijと協業を開始。量子アルゴリズム開発プラットフォーム「JijZept」を国内で初めて提供し、量子コンピューティング活用支援サービス「Cubit X」の機能を強化。開発期間の最大70%短縮を実現し、3年間で30億円の売上を目指す。
TIMEWELLが国内初の高セキュリティ自律型AIエージェントを発表、挑戦支援インフラの構築へ...
株式会社TIMEWELLは2025年4月1日、レベル3相当の高セキュリティ自律型汎用AIエージェントを発表した。自律的な作業修正・実行能力とエラー復帰機能を備え、国内サーバーでの運用により機密情報の安全な取り扱いを実現。テクニカルアントレプレナー育成プログラムWARPや産学官連携を通じて、AIを活用した挑戦支援基盤の構築を目指している。
TIMEWELLが国内初の高セキュリティ自律型AIエージェントを発表、挑戦支援インフラの構築へ...
株式会社TIMEWELLは2025年4月1日、レベル3相当の高セキュリティ自律型汎用AIエージェントを発表した。自律的な作業修正・実行能力とエラー復帰機能を備え、国内サーバーでの運用により機密情報の安全な取り扱いを実現。テクニカルアントレプレナー育成プログラムWARPや産学官連携を通じて、AIを活用した挑戦支援基盤の構築を目指している。
ニチコマ合同会社がダミーデータ生成ツールを提供開始、開発現場の効率化とセキュリティ向上に貢献
ニチコマ合同会社は、csvやjson形式の大量ダミーデータを瞬時に生成できる新サービス「ダミーデータ生成(csv, json) by Toolpods」を2025年4月2日に提供開始した。日本語対応のGUIベースインターフェースにより、プログラミング知識不要で直感的な操作が可能。開発環境やテストシナリオ、マーケティング施策など、様々な用途に対応し、個人情報漏洩リスクの低減と業務効率化を実現する。
ニチコマ合同会社がダミーデータ生成ツールを提供開始、開発現場の効率化とセキュリティ向上に貢献
ニチコマ合同会社は、csvやjson形式の大量ダミーデータを瞬時に生成できる新サービス「ダミーデータ生成(csv, json) by Toolpods」を2025年4月2日に提供開始した。日本語対応のGUIベースインターフェースにより、プログラミング知識不要で直感的な操作が可能。開発環境やテストシナリオ、マーケティング施策など、様々な用途に対応し、個人情報漏洩リスクの低減と業務効率化を実現する。
株式会社ifがAI駆動開発チームレンタルサービスを開始、即戦力チームとAI技術で開発効率化を実現
株式会社ifは2025年3月26日より、AI技術を活用した新サービス「AI駆動開発チームレンタル」の提供を開始した。フルスタックエンジニアやUI/UXデザイナー、プロジェクトマネージャーなど多様な専門家で構成されたチームを月額定額制で提供し、企画・設計から開発・実装、保守・運用まで一貫したサポートを実現。AIによるコード生成や解析と人的レビューを組み合わせたハイブリッドアプローチにより、開発効率の最大化を目指す。
株式会社ifがAI駆動開発チームレンタルサービスを開始、即戦力チームとAI技術で開発効率化を実現
株式会社ifは2025年3月26日より、AI技術を活用した新サービス「AI駆動開発チームレンタル」の提供を開始した。フルスタックエンジニアやUI/UXデザイナー、プロジェクトマネージャーなど多様な専門家で構成されたチームを月額定額制で提供し、企画・設計から開発・実装、保守・運用まで一貫したサポートを実現。AIによるコード生成や解析と人的レビューを組み合わせたハイブリッドアプローチにより、開発効率の最大化を目指す。
【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...
オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。
【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...
オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。
【CVE-2025-28011】PHPGurukul User Registration & ...
MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。
【CVE-2025-28011】PHPGurukul User Registration & ...
MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。
【CVE-2025-1669】WPSchoolPress 2.2.16にSQLインジェクション...
WordPressプラグインのWPSchoolPressにSQLインジェクション脆弱性が発見され、CVE-2025-1669として公開された。教師以上の権限を持つ認証済みユーザーが'addNotify'アクションを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5で、影響を受けるバージョンは2.2.16以前のすべてのバージョン。早急な対策が必要とされている。
【CVE-2025-1669】WPSchoolPress 2.2.16にSQLインジェクション...
WordPressプラグインのWPSchoolPressにSQLインジェクション脆弱性が発見され、CVE-2025-1669として公開された。教師以上の権限を持つ認証済みユーザーが'addNotify'アクションを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5で、影響を受けるバージョンは2.2.16以前のすべてのバージョン。早急な対策が必要とされている。
【CVE-2025-1670】WPSchoolPress 2.2.16にSQLインジェクション...
WordPressプラグインのWPSchoolPressにおいて、バージョン2.2.16以前の全バージョンでSQLインジェクションの脆弱性が発見された。Custom以上の権限を持つ認証済みユーザーが、cidパラメータを悪用してデータベースから機密情報を抽出できる可能性がある。CVSSスコア6.5のこの脆弱性は、教育機関で使用される同プラグインの性質上、早急な対応が求められている。
【CVE-2025-1670】WPSchoolPress 2.2.16にSQLインジェクション...
WordPressプラグインのWPSchoolPressにおいて、バージョン2.2.16以前の全バージョンでSQLインジェクションの脆弱性が発見された。Custom以上の権限を持つ認証済みユーザーが、cidパラメータを悪用してデータベースから機密情報を抽出できる可能性がある。CVSSスコア6.5のこの脆弱性は、教育機関で使用される同プラグインの性質上、早急な対応が求められている。
【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...
WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。
【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...
WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。
【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...
WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。
【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...
WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。
【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...
WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。
【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...
WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。
【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...
WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。
【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...
WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。
【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...
WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。
【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...
WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。
【CVE-2024-13847】WordPressプラグインPortfolio and Pro...
WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。
【CVE-2024-13847】WordPressプラグインPortfolio and Pro...
WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。