Tech Insights

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン2.19.0で修正完了

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1474】MLflow 2.18でパスワード要件の脆弱性が発見、バージョン...

MLflowバージョン2.18において、管理者が新規ユーザーアカウントをパスワードなしで作成できる重大な脆弱性が発見された。この問題はCVE-2025-1474として識別され、CVSSスコア3.8(Low)と評価されている。MLflow開発チームは迅速に対応し、バージョン2.19.0で修正を完了。セキュアなユーザーアカウント管理の重要性が再認識される結果となった。

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界値処理の不備で深刻な影響の恐れ

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界...

parisneo/lollms-webui v13において、ファイルアップロード時のマルチパート境界値処理に関する重大な脆弱性が発見された。CVSSスコア7.5のこの脆弱性では、攻撃者が過度に長い境界値を持つリクエストを作成することでリソース枯渇を引き起こし、サービス停止につながる可能性がある。以前のパッチでは対策が不十分であり、早急な対応が求められている。

【CVE-2025-1451】lollms-webui v13にDoS脆弱性、マルチパート境界...

parisneo/lollms-webui v13において、ファイルアップロード時のマルチパート境界値処理に関する重大な脆弱性が発見された。CVSSスコア7.5のこの脆弱性では、攻撃者が過度に長い境界値を持つリクエストを作成することでリソース枯渇を引き起こし、サービス停止につながる可能性がある。以前のパッチでは対策が不十分であり、早急な対応が求められている。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性、ユーザーデータの漏洩リスクが浮上

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

【CVE-2025-0723】ProfileGridプラグインにSQLインジェクションの脆弱性...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.7以前に、認証済みユーザーによるSQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性により、データベースから機密情報を抽出される可能性がある。Subscriberレベル以上の権限を持つユーザーが悪用可能で、ブラインドおよびタイムベースSQLインジェクションの両方の手法が使用可能であることが判明している。

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.jsが最新バージョン8.0をリリースし、Adobeとの協力によるIBLシャドウ機能とエリアライト機能を実装。Node Render Graphの導入でレンダリングパイプラインの完全制御が可能になり、新しいLightweight Viewerで3Dオブジェクトの表示が容易になった。WGSLコアエンジンシェーダーのサポートにより、WebGPU向けのファイルサイズも大幅に削減されている。

Babylon.js 8.0がリリース、IBLシャドウとエリアライト機能の追加でウェブ3D表現が進化

Babylon.jsが最新バージョン8.0をリリースし、Adobeとの協力によるIBLシャドウ機能とエリアライト機能を実装。Node Render Graphの導入でレンダリングパイプラインの完全制御が可能になり、新しいLightweight Viewerで3Dオブジェクトの表示が容易になった。WGSLコアエンジンシェーダーのサポートにより、WebGPU向けのファイルサイズも大幅に削減されている。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティブ開発の新たな選択肢を提供

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。

MicrosoftがAzure SDK for Rustをベータ版として公開、クラウドネイティ...

MicrosoftはAzure SDKの新バージョンで、Rust言語向けベータ版SDKを初公開した。Identity、Key Vault、Event Hubs、Cosmos DBのライブラリを提供し、高パフォーマンスと信頼性を重視したシステム開発をサポート。また、Node.js 18のサポート終了が2025年4月30日に予定されており、最新バージョンへの移行が推奨されている。

NTTデータ数理システムがAlkanoに生成AI機能を実装、データ分析支援ツール「教えて!Alkano先生」の提供開始

NTTデータ数理システムがAlkanoに生成AI機能を実装、データ分析支援ツール「教えて!Al...

NTTデータ数理システムは2025年3月25日、データ分析プラットフォーム「Alkano」の最新バージョンをリリースした。新機能として生成AIエージェントとユーザー間チャット機能を融合させた「教えて!Alkano先生」を実装。統計やデータ分析に不慣れな担当者でもデータ分析に取り組める環境を提供し、リアルタイムでの操作方法や分析手法のアドバイスを可能にした。

NTTデータ数理システムがAlkanoに生成AI機能を実装、データ分析支援ツール「教えて!Al...

NTTデータ数理システムは2025年3月25日、データ分析プラットフォーム「Alkano」の最新バージョンをリリースした。新機能として生成AIエージェントとユーザー間チャット機能を融合させた「教えて!Alkano先生」を実装。統計やデータ分析に不慣れな担当者でもデータ分析に取り組める環境を提供し、リアルタイムでの操作方法や分析手法のアドバイスを可能にした。

ファインディがテックカンファレンス特化型プラットフォームFindy Conferenceを公開、情報収集と参加機会の最大化を実現へ

ファインディがテックカンファレンス特化型プラットフォームFindy Conferenceを公開...

ファインディ株式会社が新プラットフォーム「Findy Conference」を2025年3月27日に公開。テックカンファレンスの情報・体験を一元化し、主催者・参加者・スポンサーをつなぐプラットフォームを提供する。調査では参加経験者の88.4%が開催を見逃した経験があり、情報収集手段としてXが78.1%と最も高い割合を示している。新プラットフォームにより、テックカンファレンスの体験向上が期待される。

ファインディがテックカンファレンス特化型プラットフォームFindy Conferenceを公開...

ファインディ株式会社が新プラットフォーム「Findy Conference」を2025年3月27日に公開。テックカンファレンスの情報・体験を一元化し、主催者・参加者・スポンサーをつなぐプラットフォームを提供する。調査では参加経験者の88.4%が開催を見逃した経験があり、情報収集手段としてXが78.1%と最も高い割合を示している。新プラットフォームにより、テックカンファレンスの体験向上が期待される。

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴ株式会社が、ノーコード開発ツールBubbleと生成AIを組み合わせた新サービス「AIパッケージ」の提供を開始した。開発経験がなくても最短1週間でAIチャットを導入できる画期的なソリューションで、50万円からのスタートプラン、決済機能付きのビジネスプラン、カスタマイズ性の高いエンタープライズプランの3つを展開。4月末までビジネスプランが20%オフになるキャンペーンも実施中だ。

シースリーレーヴがノーコード×生成AIのAIチャットパッケージを提供開始、最短1週間で導入可能に

シースリーレーヴ株式会社が、ノーコード開発ツールBubbleと生成AIを組み合わせた新サービス「AIパッケージ」の提供を開始した。開発経験がなくても最短1週間でAIチャットを導入できる画期的なソリューションで、50万円からのスタートプラン、決済機能付きのビジネスプラン、カスタマイズ性の高いエンタープライズプランの3つを展開。4月末までビジネスプランが20%オフになるキャンペーンも実施中だ。

ストラテジットがJOINT iPaaSでオンプレミス連携機能を追加、システム間連携の選択肢が拡大へ

ストラテジットがJOINT iPaaSでオンプレミス連携機能を追加、システム間連携の選択肢が拡大へ

ストラテジットは2025年3月27日、JOINT iPaaS for SaaS/for Bizにおいて、MySQLコネクターやFTPコネクター、汎用HTTP機能などのオンプレミス連携機能をリリースした。また要件整理から運用までを支援するサービスも開始し、システム間連携の実装がより容易になっている。PostgreSQLやOracleDBなど、他のデータベース向けコネクターも2025年夏に向けて順次提供される予定だ。

ストラテジットがJOINT iPaaSでオンプレミス連携機能を追加、システム間連携の選択肢が拡大へ

ストラテジットは2025年3月27日、JOINT iPaaS for SaaS/for Bizにおいて、MySQLコネクターやFTPコネクター、汎用HTTP機能などのオンプレミス連携機能をリリースした。また要件整理から運用までを支援するサービスも開始し、システム間連携の実装がより容易になっている。PostgreSQLやOracleDBなど、他のデータベース向けコネクターも2025年夏に向けて順次提供される予定だ。

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴ株式会社が、AIを活用した企業間マッチングプラットフォームをノーコード開発ツールBubbleで開発。企業のニーズ登録機能とAIによる自動マッチング機能を実装し、毎日2社の協業候補を提案。3ヶ月という短期間で3名の開発チームが構築を実現し、企業間のリソース共有と協業促進を目指す。

シースリーレーヴがBubbleでAI企業マッチングプラットフォームを開発、リソース共有と協業促進へ

シースリーレーヴ株式会社が、AIを活用した企業間マッチングプラットフォームをノーコード開発ツールBubbleで開発。企業のニーズ登録機能とAIによる自動マッチング機能を実装し、毎日2社の協業候補を提案。3ヶ月という短期間で3名の開発チームが構築を実現し、企業間のリソース共有と協業促進を目指す。

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務効率化を実現

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務...

芋焼酎「黒霧島」で知られる霧島酒造が、ローコード開発プラットフォーム「Claris FileMaker」とiPadを活用し、現場主導でアプリケーションを内製開発。焼酎製造の現場から始まったデジタル化が全社に波及し、データ活用による品質管理と商品開発の強化を実現。作業工数の25%削減や異常の早期発見など、具体的な成果を上げている。

霧島酒造がClaris FileMakerとiPadで業務アプリを内製開発、全社DXによる業務...

芋焼酎「黒霧島」で知られる霧島酒造が、ローコード開発プラットフォーム「Claris FileMaker」とiPadを活用し、現場主導でアプリケーションを内製開発。焼酎製造の現場から始まったデジタル化が全社に波及し、データ活用による品質管理と商品開発の強化を実現。作業工数の25%削減や異常の早期発見など、具体的な成果を上げている。

CA Tech KidsがMicrosoft Copilotを活用した高校向けプログラミング授業を実施、AIとMinecraftで効果的な学習環境を提供

CA Tech KidsがMicrosoft Copilotを活用した高校向けプログラミング授...

CA Tech KidsはMicrosoft CopilotとMinecraft Educationを組み合わせた新しいプログラミング教育を2024年11月より展開。2025年3月には都立南多摩中等教育学校でPython基礎と生成AI活用を学ぶ授業を実施。プログラミング未習者でも段階的に学べる環境を整備し、高等学校DX加速化推進事業にも対応。全国の高校でカスタマイズ可能なカリキュラムを提供している。

CA Tech KidsがMicrosoft Copilotを活用した高校向けプログラミング授...

CA Tech KidsはMicrosoft CopilotとMinecraft Educationを組み合わせた新しいプログラミング教育を2024年11月より展開。2025年3月には都立南多摩中等教育学校でPython基礎と生成AI活用を学ぶ授業を実施。プログラミング未習者でも段階的に学べる環境を整備し、高等学校DX加速化推進事業にも対応。全国の高校でカスタマイズ可能なカリキュラムを提供している。

スペースデータがJAXAと連携し宇宙ロボットシミュレーターを全世界に無償提供、地上技術の宇宙応用が加速

スペースデータがJAXAと連携し宇宙ロボットシミュレーターを全世界に無償提供、地上技術の宇宙応...

株式会社スペースデータは、JAXAとの協力のもと、国際宇宙ステーション(ISS)を高精度に再現した宇宙ロボット開発向けシミュレーター「バーチャル国際宇宙ステーション(ISS)」を全世界に無償公開した。ROSとIsaac Simに対応し、JAXAの宇宙ロボット「Int-Ball2」のモデルを搭載することで、地上のロボット技術を宇宙環境で検証可能になる。

スペースデータがJAXAと連携し宇宙ロボットシミュレーターを全世界に無償提供、地上技術の宇宙応...

株式会社スペースデータは、JAXAとの協力のもと、国際宇宙ステーション(ISS)を高精度に再現した宇宙ロボット開発向けシミュレーター「バーチャル国際宇宙ステーション(ISS)」を全世界に無償公開した。ROSとIsaac Simに対応し、JAXAの宇宙ロボット「Int-Ball2」のモデルを搭載することで、地上のロボット技術を宇宙環境で検証可能になる。

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発手法の可能性を実証

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発...

株式会社Progateは立命館アジア太平洋大学と九州工業大学が共同開催したAI活用型ミニハッカソンの講師を務めた。約40名の文理混合チームがbolt.diyとChatGPTを活用し、お絵かきクイズや囲碁アプリなどを開発。文部科学省の「大学の国際化によるソーシャルインパクト創出支援事業」の一環として、AIを活用した新しい開発手法の可能性を示した。

ProgateがAPUと九州工業大学のAI活用型ミニハッカソンを支援、文理融合による新たな開発...

株式会社Progateは立命館アジア太平洋大学と九州工業大学が共同開催したAI活用型ミニハッカソンの講師を務めた。約40名の文理混合チームがbolt.diyとChatGPTを活用し、お絵かきクイズや囲碁アプリなどを開発。文部科学省の「大学の国際化によるソーシャルインパクト創出支援事業」の一環として、AIを活用した新しい開発手法の可能性を示した。

SI&CとアステリアがData Cloudアダプターの提供を開始、ノーコードでのデータ連携で導入期間を最大50%短縮へ

SI&CとアステリアがData Cloudアダプターの提供を開始、ノーコードでのデータ連携で導...

SI&CとアステリアがASTERIA Warp用のData Cloudアダプターを2025年3月26日より提供開始。SalesforceのData Cloudと100種類以上のシステムをノーコードで連携可能になり、導入期間を最大50%短縮。完全ノーコード連携、包括的システム統合、スピード導入、リアルタイムデータ処理、コスト効率の最大化を実現し、企業の情報資産活用を促進する。

SI&CとアステリアがData Cloudアダプターの提供を開始、ノーコードでのデータ連携で導...

SI&CとアステリアがASTERIA Warp用のData Cloudアダプターを2025年3月26日より提供開始。SalesforceのData Cloudと100種類以上のシステムをノーコードで連携可能になり、導入期間を最大50%短縮。完全ノーコード連携、包括的システム統合、スピード導入、リアルタイムデータ処理、コスト効率の最大化を実現し、企業の情報資産活用を促進する。

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、WordPressサイトのセキュリティリスクに警戒

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、Word...

WordPressプラグインのJeg Elementor Kitにおいて、バージョン2.6.11以前に情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが非公開テンプレートデータにアクセス可能となる脆弱性で、CVSSスコアは4.3(MEDIUM)と評価されている。この脆弱性はCVE-2024-13217として識別され、主にCountdownおよびOff-Canvasコンポーネントに影響を与える。

【CVE-2024-13217】Jeg Elementor Kitに情報漏洩の脆弱性、Word...

WordPressプラグインのJeg Elementor Kitにおいて、バージョン2.6.11以前に情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが非公開テンプレートデータにアクセス可能となる脆弱性で、CVSSスコアは4.3(MEDIUM)と評価されている。この脆弱性はCVE-2024-13217として識別され、主にCountdownおよびOff-Canvasコンポーネントに影響を与える。

【CVE-2025-26970】WordPress Ark Theme Coreに認証不要のRCE脆弱性、早急な対応が必要に

【CVE-2025-26970】WordPress Ark Theme Coreに認証不要のR...

NotFound社のWordPress用プラグインArk Theme Coreにおいて、認証不要でリモートからコードが実行可能な重大な脆弱性が発見された。CVE-2025-26970として識別されるこの脆弱性は、全バージョンから1.70.0までに影響を与えており、CVSSスコア10.0のクリティカルな評価を受けている。攻撃の複雑さは低く特権も不要なため、早急な対応が求められる。

【CVE-2025-26970】WordPress Ark Theme Coreに認証不要のR...

NotFound社のWordPress用プラグインArk Theme Coreにおいて、認証不要でリモートからコードが実行可能な重大な脆弱性が発見された。CVE-2025-26970として識別されるこの脆弱性は、全バージョンから1.70.0までに影響を与えており、CVSSスコア10.0のクリティカルな評価を受けている。攻撃の複雑さは低く特権も不要なため、早急な対応が求められる。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱性、Contributor権限で攻撃可能に

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2025-1324】WP-Recallプラグインにクロスサイトスクリプティングの脆弱...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は、プラグインのpublic-formショートコードにおける入力値の検証が不十分であることが原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能となっている。CVSSスコアは6.4(Medium)と評価されており、早急な対応が推奨される。

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティングの脆弱性、デバッグモード時のエラーページに深刻な影響

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティン...

Laravel Framework 11.9.0から11.35.1において、デバッグモードのエラーページでルートパラメータの不適切なエンコーディングに起因するReflected XSSの脆弱性が発見された。CVSS 3.1で深刻度「HIGH」のスコア8.0を記録し、攻撃条件の複雑さは高いものの特権レベルは不要とされている。Laravel Framework v11.36.0で修正済みだが、影響を受けるバージョンを使用している場合は早急なアップデートが推奨される。

【CVE-2024-13919】Laravel Frameworkにクロスサイトスクリプティン...

Laravel Framework 11.9.0から11.35.1において、デバッグモードのエラーページでルートパラメータの不適切なエンコーディングに起因するReflected XSSの脆弱性が発見された。CVSS 3.1で深刻度「HIGH」のスコア8.0を記録し、攻撃条件の複雑さは高いものの特権レベルは不要とされている。Laravel Framework v11.36.0で修正済みだが、影響を受けるバージョンを使用している場合は早急なアップデートが推奨される。

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元の対応の遅れが深刻な事態を招く可能性

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元...

LoveCards LoveCardsV2 2.3.2以前のバージョンで、設定ハンドラーコンポーネントに重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能で認証バイパスのリスクがある。開発元は早期に通知を受けていたが対応せず、exploit情報が公開され悪用の危険性が高まっている。CVSSスコアは最大6.9を記録し、直ちに対策が必要な状況だ。

【CVE-2025-2218】LoveCards LoveCardsV2に重大な脆弱性、開発元...

LoveCards LoveCardsV2 2.3.2以前のバージョンで、設定ハンドラーコンポーネントに重大な脆弱性が発見された。不適切なアクセス制御により、リモートからの攻撃が可能で認証バイパスのリスクがある。開発元は早期に通知を受けていたが対応せず、exploit情報が公開され悪用の危険性が高まっている。CVSSスコアは最大6.9を記録し、直ちに対策が必要な状況だ。

【CVE-2025-2217】zzskzy Warehouse Refinement Management System 1.3にSQLインジェクションの脆弱性、リモート攻撃のリスクで早急な対応が必要

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-2217】zzskzy Warehouse Refinement Mana...

VulDBは2025年3月12日、zzskzy Warehouse Refinement Management System 1.3のgetAdyData.ashxファイルのProcessRequest機能に重大な脆弱性を報告した。showid引数の操作によるSQLインジェクションが可能で、リモートからの攻撃実行のリスクがある。既にエクスプロイトコードが公開されており、CVSS 4.0で5.3、CVSS 3.1と3.0で6.3のミディアムレベルと評価されている。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で修正パッチを提供

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-29782】WeGIAに格納型XSS脆弱性が発見、バージョン3.2.17で...

慈善団体向けWebマネージャーWeGIAにおいて、adicionar_tipo_docs_atendido.phpのtipoパラメータに格納型XSS脆弱性が発見された。CVSSスコア6.4のミディアムレベルの脆弱性として評価され、バージョン3.2.17未満が影響を受ける。開発元のLabRedesCefetRJは3.2.17で修正パッチを提供しており、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトスクリプティングの脆弱性が発見、早急な対応が必要に

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトス...

WordPressプラグインDethemeKit for Elementorのバージョン2.1.9以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。De Product Display Widgetのカウントダウン機能における入力値の検証とエスケープ処理が不十分なことが原因で、任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-1526】DethemeKit for Elementorにクロスサイトス...

WordPressプラグインDethemeKit for Elementorのバージョン2.1.9以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。De Product Display Widgetのカウントダウン機能における入力値の検証とエスケープ処理が不十分なことが原因で、任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が推奨される。

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのXSS攻撃が可能に

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのX...

WordPressプラグインWP Test Emailの1.1.8以前のバージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2025-2325として識別されるこの脆弱性は、CVSSスコア7.2の高リスク評価となっている。未認証の攻撃者が任意のWebスクリプトを注入可能で、ユーザー環境での実行が可能となるため、早急な対応が必要とされている。

【CVE-2025-2325】WP Test Emailプラグインに重大な脆弱性、未認証でのX...

WordPressプラグインWP Test Emailの1.1.8以前のバージョンにおいて、Stored Cross-Site Scriptingの脆弱性が発見された。CVE-2025-2325として識別されるこの脆弱性は、CVSSスコア7.2の高リスク評価となっている。未認証の攻撃者が任意のWebスクリプトを注入可能で、ユーザー環境での実行が可能となるため、早急な対応が必要とされている。

【CVE-2025-2383】PHPGurukul Doctor Appointment Management Systemにおける重大なSQL注入の脆弱性が発見、医療データの漏洩リスクに警鐘

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-29425】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29430】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-2386】PHPGurukul Local Services Search Engine Management Systemに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-29429】教育機関向けOnline Class and Exam Scheduling System V1.0にXSS脆弱性、早急な対応が必要に

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル削除が可能に

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。