Tech Insights
【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...
WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。
【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...
WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。
【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...
WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。
【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...
WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。
【CVE-2024-13895】WordPressプラグインCode Snippets CPT...
WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
【CVE-2024-13895】WordPressプラグインCode Snippets CPT...
WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
【CVE-2024-13675】SlingBlocksプラグインに深刻な脆弱性、認証済みユーザ...
WordPressプラグイン「SlingBlocks - Gutenberg Blocks by FunnelKit」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.5.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト実行が可能となる。CVSSスコアは6.4でMediumと評価され、早急な対応が推奨される。Icon Listブロックの入力検証不備が原因とされている。
【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...
WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。
【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...
WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。
【CVE-2025-2126】JoomlaUX JUX Real Estate 3.4.0にS...
JoomlaUX社のJUX Real Estate 3.4.0において、GET Parameterのtitle引数を操作することでSQLインジェクションが可能となる重大な脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3(中程度)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーへの早期連絡にも関わらず対応が行われていないため、ユーザーによる独自の対策が必要とされている。
【CVE-2025-2126】JoomlaUX JUX Real Estate 3.4.0にS...
JoomlaUX社のJUX Real Estate 3.4.0において、GET Parameterのtitle引数を操作することでSQLインジェクションが可能となる重大な脆弱性が発見された。CVSSスコアは最新のバージョン4.0で5.3(中程度)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーへの早期連絡にも関わらず対応が行われていないため、ユーザーによる独自の対策が必要とされている。
メシウスがSpreadJS V18Jを発表、データマネージャーと連携した新チャート機能で帳票作...
メシウス株式会社は、WebアプリケーションでExcelライクなUIを実現するJavaScriptライブラリ「SpreadJS V18J」を2025年3月26日にリリース予定だ。新機能のデータチャートは、データマネージャーと連携し24種類のチャートタイプをサポート。複数テーブルの結合やレポートシート機能との併用により、ダッシュボードや報告書での多彩な表現が可能になる。
メシウスがSpreadJS V18Jを発表、データマネージャーと連携した新チャート機能で帳票作...
メシウス株式会社は、WebアプリケーションでExcelライクなUIを実現するJavaScriptライブラリ「SpreadJS V18J」を2025年3月26日にリリース予定だ。新機能のデータチャートは、データマネージャーと連携し24種類のチャートタイプをサポート。複数テーブルの結合やレポートシート機能との併用により、ダッシュボードや報告書での多彩な表現が可能になる。
OpenAIがResponses APIとエージェント構築ツールを発表、AIエージェント開発の...
OpenAIは2025年3月11日、開発者や企業向けに信頼性の高いエージェントを構築するためのResponses APIを発表した。Web検索やファイル検索などの組み込みツール、エージェントワークフロー管理用のAgents SDKも提供開始。これにより開発者は複数のAPIや外部ベンダーを統合する複雑さなしに、実用的なAIエージェントを効率的に構築できるようになる。
OpenAIがResponses APIとエージェント構築ツールを発表、AIエージェント開発の...
OpenAIは2025年3月11日、開発者や企業向けに信頼性の高いエージェントを構築するためのResponses APIを発表した。Web検索やファイル検索などの組み込みツール、エージェントワークフロー管理用のAgents SDKも提供開始。これにより開発者は複数のAPIや外部ベンダーを統合する複雑さなしに、実用的なAIエージェントを効率的に構築できるようになる。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
さくらのクラウドが13種類の新機能を追加、開発効率とセキュリティの向上に貢献
さくらインターネットは、パブリッククラウドサービス「さくらのクラウド」において、2025年2月に13種類の新機能を追加した。AppRunやシンプルMQ、シンプル通知などの開発者向け機能に加え、シークレットマネージャやKMSなどのセキュリティ機能も実装され、より安全で効率的なクラウド環境の構築が可能になっている。β版として提供される機能も多く、β期間中は無料で利用できる。
さくらのクラウドが13種類の新機能を追加、開発効率とセキュリティの向上に貢献
さくらインターネットは、パブリッククラウドサービス「さくらのクラウド」において、2025年2月に13種類の新機能を追加した。AppRunやシンプルMQ、シンプル通知などの開発者向け機能に加え、シークレットマネージャやKMSなどのセキュリティ機能も実装され、より安全で効率的なクラウド環境の構築が可能になっている。β版として提供される機能も多く、β期間中は無料で利用できる。
MicrosoftがTypeScriptコンパイラのGo言語移植を発表、処理速度が約10倍に向上へ
MicrosoftのテクニカルフェローでTypeScriptのリードアーキテクトのAnders Hejlsberg氏が、TypeScriptコンパイラをGo言語に移植するProject Corsaを発表した。コンパイラの処理速度が約10倍向上し、エディタの起動時間も8倍高速化される見込みだ。2025年中旬にコマンドライン版、年末に完全版のリリースを予定している。
MicrosoftがTypeScriptコンパイラのGo言語移植を発表、処理速度が約10倍に向上へ
MicrosoftのテクニカルフェローでTypeScriptのリードアーキテクトのAnders Hejlsberg氏が、TypeScriptコンパイラをGo言語に移植するProject Corsaを発表した。コンパイラの処理速度が約10倍向上し、エディタの起動時間も8倍高速化される見込みだ。2025年中旬にコマンドライン版、年末に完全版のリリースを予定している。
MicrosoftがDesired State Configuration v3.0.0を発表...
Microsoftはクラウドネイティブな構成管理プラットフォームとしてDesired State Configuration v3.0.0の一般提供を開始した。JSONやYAMLによる宣言的な構成定義、任意言語でのリソース作成、Linux/macOS/Windows対応など、従来のPowerShell DSCから大幅な進化を遂げている。既存のPowerShell DSCリソースとの後方互換性も維持されており、段階的な移行が可能だ。
MicrosoftがDesired State Configuration v3.0.0を発表...
Microsoftはクラウドネイティブな構成管理プラットフォームとしてDesired State Configuration v3.0.0の一般提供を開始した。JSONやYAMLによる宣言的な構成定義、任意言語でのリソース作成、Linux/macOS/Windows対応など、従来のPowerShell DSCから大幅な進化を遂げている。既存のPowerShell DSCリソースとの後方互換性も維持されており、段階的な移行が可能だ。
シースリーレーヴがBubbleで物流業務改善システムを開発、業務の一元管理と在庫状況の可視化を実現
シースリーレーヴ株式会社が、ノーコードツールBubbleを活用して物流業務改善Webシステムを開発。契約管理から仕入れ、在庫管理、運送、倉庫管理までの全工程を一元管理し、リアルタイムでの在庫状況把握を実現。4ヶ月という短期間で4名体制での開発を完了し、今後の機能拡張やカスタマイズにも柔軟に対応可能な体制を整えている。
シースリーレーヴがBubbleで物流業務改善システムを開発、業務の一元管理と在庫状況の可視化を実現
シースリーレーヴ株式会社が、ノーコードツールBubbleを活用して物流業務改善Webシステムを開発。契約管理から仕入れ、在庫管理、運送、倉庫管理までの全工程を一元管理し、リアルタイムでの在庫状況把握を実現。4ヶ月という短期間で4名体制での開発を完了し、今後の機能拡張やカスタマイズにも柔軟に対応可能な体制を整えている。
前川製作所がSmartDBを導入し全社的な業務改革を実現、年間1500時間の業務効率化を達成
前川製作所は2023年1月より大企業向け業務デジタル化クラウド「SmartDB」を導入し、約2,500名の社員が利用する全社基盤として展開している。約2年間で100個の業務アプリを作成し、海外出張申請業務では年間約3,000枚の帳票類と約1,500時間の作業時間を削減。現場部門でのアプリ開発を可能にし、デジタル人材の育成にも貢献している。
前川製作所がSmartDBを導入し全社的な業務改革を実現、年間1500時間の業務効率化を達成
前川製作所は2023年1月より大企業向け業務デジタル化クラウド「SmartDB」を導入し、約2,500名の社員が利用する全社基盤として展開している。約2年間で100個の業務アプリを作成し、海外出張申請業務では年間約3,000枚の帳票類と約1,500時間の作業時間を削減。現場部門でのアプリ開発を可能にし、デジタル人材の育成にも貢献している。
モンスターラボがAIを活用したアプリプラットフォーム「AppPlatform AI」を提供開始...
モンスターラボは2025年3月13日、AIを活用して複数のモバイルアプリケーションをプラットフォーム化する新ソリューション「AppPlatform AI」の提供を開始した。マイクロサービスアーキテクチャを採用し、ノーコードでの制作・管理・公開機能を実装。既存のAIソリューションとの連携によりUI/UX分析やデータ分析も可能となり、企業のデジタル変革を支援する。
モンスターラボがAIを活用したアプリプラットフォーム「AppPlatform AI」を提供開始...
モンスターラボは2025年3月13日、AIを活用して複数のモバイルアプリケーションをプラットフォーム化する新ソリューション「AppPlatform AI」の提供を開始した。マイクロサービスアーキテクチャを採用し、ノーコードでの制作・管理・公開機能を実装。既存のAIソリューションとの連携によりUI/UX分析やデータ分析も可能となり、企業のデジタル変革を支援する。
UnReactがShopify向け年齢確認アプリをリリース、酒類やタバコ類の販売コンプライアン...
福岡県のITベンチャー企業UnReactが、Shopifyストア向けの「シンプル年齢確認チェックボックスアプリ」をリリースした。特定商品に対して年齢確認用のチェックボックスを設置でき、酒類やタバコ類の販売時に必要となる購入前の年齢確認を簡単に実装可能。商品ごとの表示設定やノーコードでのカスタマイズに対応し、確認状況の管理機能も備えている。
UnReactがShopify向け年齢確認アプリをリリース、酒類やタバコ類の販売コンプライアン...
福岡県のITベンチャー企業UnReactが、Shopifyストア向けの「シンプル年齢確認チェックボックスアプリ」をリリースした。特定商品に対して年齢確認用のチェックボックスを設置でき、酒類やタバコ類の販売時に必要となる購入前の年齢確認を簡単に実装可能。商品ごとの表示設定やノーコードでのカスタマイズに対応し、確認状況の管理機能も備えている。
LAPRASがエンジニアスキル可視化ツールLAPRASスコアv2.2をリリース、生成AIによる...
LAPRAS株式会社がITエンジニアの技術力を可視化する「LAPRASスコア」をバージョン2.2にアップデートした。生成AIが技術記事を評価する「AIレビュー」機能を実装し、論理性、実用性、読みやすさ、独自性、明確性の5つの観点から記事を評価。これにより、従来のいいね数だけでは測れなかった記事の質的価値を技術力スコアに反映することが可能になった。
LAPRASがエンジニアスキル可視化ツールLAPRASスコアv2.2をリリース、生成AIによる...
LAPRAS株式会社がITエンジニアの技術力を可視化する「LAPRASスコア」をバージョン2.2にアップデートした。生成AIが技術記事を評価する「AIレビュー」機能を実装し、論理性、実用性、読みやすさ、独自性、明確性の5つの観点から記事を評価。これにより、従来のいいね数だけでは測れなかった記事の質的価値を技術力スコアに反映することが可能になった。
グラフトンノートがC-POPでAmazon DSPのConversions APIに対応、国内...
グラフトンノートのコンバージョンAPI対応ツール「C-POP」がAmazon DSPのConversions APIへの対応を開始。Meta広告、X広告、Yahoo!ディスプレイ広告など、国内最多となる8媒体との連携が可能になった。タグ設置だけでAPI連携が完了する仕組みにより、企業の開発負担を大幅に軽減。月額5,000円からの利用で、より効率的なマーケティング活動を実現する。
グラフトンノートがC-POPでAmazon DSPのConversions APIに対応、国内...
グラフトンノートのコンバージョンAPI対応ツール「C-POP」がAmazon DSPのConversions APIへの対応を開始。Meta広告、X広告、Yahoo!ディスプレイ広告など、国内最多となる8媒体との連携が可能になった。タグ設置だけでAPI連携が完了する仕組みにより、企業の開発負担を大幅に軽減。月額5,000円からの利用で、より効率的なマーケティング活動を実現する。
ファーストシードがFirstSeed Tasks 4を発表、タイマー機能搭載でタスク実行の効率...
株式会社ファーストシードが、タスクの実行支援と可視化機能を備えたタスク管理アプリ「FirstSeed Tasks 4」をiPhone、iPad、Mac向けにリリース。通常タイマーとポモドーロタイマーを搭載し、作業時間の統計機能も実装。Live ActivityとMacメニューバー対応で、アプリを開かずに進捗確認が可能になった。
ファーストシードがFirstSeed Tasks 4を発表、タイマー機能搭載でタスク実行の効率...
株式会社ファーストシードが、タスクの実行支援と可視化機能を備えたタスク管理アプリ「FirstSeed Tasks 4」をiPhone、iPad、Mac向けにリリース。通常タイマーとポモドーロタイマーを搭載し、作業時間の統計機能も実装。Live ActivityとMacメニューバー対応で、アプリを開かずに進捗確認が可能になった。
スペクトラム社が最大10 GS/sのGHzデジタイザ新製品7モデルを発表、Ethernet接続...
スペクトラム・インスツルメンテーション社は、最大10 GS/sのサンプリングレートと最大4.7 GHzの帯域幅を持つデジタイザの新製品7モデルを発表した。DN2.33xシリーズは、Ethernet/LXI接続による容易な制御と高い可搬性を特徴とし、包括的な計測ソリューションとして研究分野や産業分野での活用が期待される。全モデルに信号収集・解析ソフトウェアが付属し、5年保証とライフタイムサポートを提供する。
スペクトラム社が最大10 GS/sのGHzデジタイザ新製品7モデルを発表、Ethernet接続...
スペクトラム・インスツルメンテーション社は、最大10 GS/sのサンプリングレートと最大4.7 GHzの帯域幅を持つデジタイザの新製品7モデルを発表した。DN2.33xシリーズは、Ethernet/LXI接続による容易な制御と高い可搬性を特徴とし、包括的な計測ソリューションとして研究分野や産業分野での活用が期待される。全モデルに信号収集・解析ソフトウェアが付属し、5年保証とライフタイムサポートを提供する。
オルツが日本語LLMインストラクションデータサービスを開始、グローバルAI企業の日本市場展開を...
オルツは2025年3月13日より、大規模言語モデル開発企業向けに日本語LLMインストラクションデータサービスの提供を開始する。GENIACに採択され世界最高性能の日本語言語処理技術を研究開発しており、軽量大規模言語モデルLHTM-OPT2では日本語RAGで世界最高精度を達成している。APTO社との業務提携により、高品質な日本語インストラクションデータの提供とグローバル展開を目指す。
オルツが日本語LLMインストラクションデータサービスを開始、グローバルAI企業の日本市場展開を...
オルツは2025年3月13日より、大規模言語モデル開発企業向けに日本語LLMインストラクションデータサービスの提供を開始する。GENIACに採択され世界最高性能の日本語言語処理技術を研究開発しており、軽量大規模言語モデルLHTM-OPT2では日本語RAGで世界最高精度を達成している。APTO社との業務提携により、高品質な日本語インストラクションデータの提供とグローバル展開を目指す。
静岡県磐田市がLGWAN環境で初のデジタルアダプションプラットフォームを導入、財務会計システム...
テックタッチ株式会社は、静岡県磐田市の財務会計システム「FAST財務会計」にデジタルアダプションプラットフォーム「テックタッチ」が採用されたことを発表した。LGWAN環境での採用は国内初となり、年間12万件の伝票起票業務の効率化を目指す。職員主導での持続可能な自治体DXの実現に向けた先進的な取り組みとして注目される。
静岡県磐田市がLGWAN環境で初のデジタルアダプションプラットフォームを導入、財務会計システム...
テックタッチ株式会社は、静岡県磐田市の財務会計システム「FAST財務会計」にデジタルアダプションプラットフォーム「テックタッチ」が採用されたことを発表した。LGWAN環境での採用は国内初となり、年間12万件の伝票起票業務の効率化を目指す。職員主導での持続可能な自治体DXの実現に向けた先進的な取り組みとして注目される。
ゼンアーキテクツが新クラウド開発環境ZEN Dev Cloudをリリース、生成AI活用の新ビジ...
株式会社ゼンアーキテクツは、AzureとGitHub Enterpriseを統合した新しい開発環境「ZEN Dev Cloud」を発表した。クラウドインフラからコード管理、CI/CDパイプライン、専門家による技術支援までをワンストップで提供し、企業のDX推進を強力にサポート。GitHub Enterprise Cloudの1シート単位従量課金制や、Azure OpenAI Serviceの活用により、生成AIを活用した新ビジネスの立ち上げや検証に最適な環境を実現した。
ゼンアーキテクツが新クラウド開発環境ZEN Dev Cloudをリリース、生成AI活用の新ビジ...
株式会社ゼンアーキテクツは、AzureとGitHub Enterpriseを統合した新しい開発環境「ZEN Dev Cloud」を発表した。クラウドインフラからコード管理、CI/CDパイプライン、専門家による技術支援までをワンストップで提供し、企業のDX推進を強力にサポート。GitHub Enterprise Cloudの1シート単位従量課金制や、Azure OpenAI Serviceの活用により、生成AIを活用した新ビジネスの立ち上げや検証に最適な環境を実現した。
静岡県磐田市がFAST財務会計システムとテックタッチを導入、全国初の自治体バックオフィスDAP...
ジャパンシステムとテックタッチは静岡県磐田市からFAST財務会計とDAPシステムテックタッチを受注し、2025年4月から運用を開始する。自治体バックオフィス業務におけるDAP採用は全国初となり、年間12万件の伝票業務の効率化が期待される。デジタルガイドによる操作支援や、職員自身によるノーコードでのカスタマイズ機能が評価されている。
静岡県磐田市がFAST財務会計システムとテックタッチを導入、全国初の自治体バックオフィスDAP...
ジャパンシステムとテックタッチは静岡県磐田市からFAST財務会計とDAPシステムテックタッチを受注し、2025年4月から運用を開始する。自治体バックオフィス業務におけるDAP採用は全国初となり、年間12万件の伝票業務の効率化が期待される。デジタルガイドによる操作支援や、職員自身によるノーコードでのカスタマイズ機能が評価されている。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13231】WordPress Portfolio Builder 1.1...
WordfenceはWordPress Portfolio Builder – Portfolio Galleryプラグインのバージョン1.1.7以前に認証機能の欠如による脆弱性が存在することを報告した。'add_video'関数における権限チェックの欠如により、未認証の攻撃者が任意の動画をポートフォリオギャラリーに追加できる状態となっている。この脆弱性はCVSS v3.1で深刻度が5.3(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13231】WordPress Portfolio Builder 1.1...
WordfenceはWordPress Portfolio Builder – Portfolio Galleryプラグインのバージョン1.1.7以前に認証機能の欠如による脆弱性が存在することを報告した。'add_video'関数における権限チェックの欠如により、未認証の攻撃者が任意の動画をポートフォリオギャラリーに追加できる状態となっている。この脆弱性はCVSS v3.1で深刻度が5.3(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。