Tech Insights

【CVE-2024-13832】Ultra Addons Lite for Elementorに認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスクが発生

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2025-25939】Reprise License Manager 14.2でXSS脆弱性が発見、akeyパラメータに深刻な影響

【CVE-2025-25939】Reprise License Manager 14.2でXS...

Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。

【CVE-2025-25939】Reprise License Manager 14.2でXS...

Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済みユーザーの不正操作が可能に

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...

MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...

MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌルポインタ参照の問題が発覚

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌ...

D-Link DAP-1562のバージョン1.10において、HTTP POSTリクエストハンドラーのpure_auth_check機能に重大な脆弱性が発見された。この脆弱性により、遠隔からのヌルポインタ参照攻撃が可能となり、CVSSスコア7.1の評価を受けている。既にエクスプロイトが公開されており、非サポート製品であることから早急な対策が必要となっている。

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌ...

D-Link DAP-1562のバージョン1.10において、HTTP POSTリクエストハンドラーのpure_auth_check機能に重大な脆弱性が発見された。この脆弱性により、遠隔からのヌルポインタ参照攻撃が可能となり、CVSSスコア7.1の評価を受けている。既にエクスプロイトが公開されており、非サポート製品であることから早急な対策が必要となっている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による再帰的クローリングが可能に

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前のユーザーに影響

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権昇格のリスクが発覚

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しないコンテンツ表示の危険性が明らかに

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカルな評価でセキュリティ対策が急務に

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前に深刻な影響

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1903】Codezips Online Shopping Website 1.0にSQLインジェクション脆弱性、深刻度が高レベルに

【CVE-2025-1903】Codezips Online Shopping Website...

Codezips Online Shopping Website 1.0のcart_add.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1903として識別されるこの脆弱性は、id引数の操作により攻撃が可能で、CVSSスコアは最大7.5を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。影響を受けるバージョンはCodezips Online Shopping Website 1.0で、脆弱性の種類はSQLインジェクションとインジェクションに分類される。

【CVE-2025-1903】Codezips Online Shopping Website...

Codezips Online Shopping Website 1.0のcart_add.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1903として識別されるこの脆弱性は、id引数の操作により攻撃が可能で、CVSSスコアは最大7.5を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。影響を受けるバージョンはCodezips Online Shopping Website 1.0で、脆弱性の種類はSQLインジェクションとインジェクションに分類される。

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULLポインタ参照の脆弱性が発見、システムの安定性に影響の可能性

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。

【CVE-2025-1900】PHPGurukul Restaurant Table Booking System 1.0にSQL injection脆弱性が発見、遠隔攻撃のリスクが深刻化

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1894】PHPGurukul Restaurant Table Booking System 1.0にSQLインジェクションの脆弱性、情報漏洩のリスクに警戒

【CVE-2025-1894】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。

【CVE-2025-1894】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のファイルアップロードが可能な重大な問題に

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...

WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...

WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。

【CVE-2025-1906】PHPGurukul Restaurant Table Booking System 1.0にSQLインジェクションの脆弱性、管理者機能に深刻な影響

【CVE-2025-1906】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadmin/profile.phpにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータを介した攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。管理者権限が必要だが攻撃の複雑さは低く、データベースの整合性や機密情報に影響を及ぼす可能性があり、早急な対応が求められる状況となっている。

【CVE-2025-1906】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadmin/profile.phpにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータを介した攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。管理者権限が必要だが攻撃の複雑さは低く、データベースの整合性や機密情報に影響を及ぼす可能性があり、早急な対応が求められる状況となっている。

【CVE-2025-1901】PHPGurukul Restaurant Table Booking Systemにリモート実行可能な危険度の高い脆弱性が発見

【CVE-2025-1901】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadmin/check_availability.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2025-1901】として識別され、リモートからの攻撃が可能で特別な認証は不要。CVSSスコアは最大7.3(HIGH)と評価されており、既に攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-1901】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadmin/check_availability.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2025-1901】として識別され、リモートからの攻撃が可能で特別な認証は不要。CVSSスコアは最大7.3(HIGH)と評価されており、既に攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2024-13835】WordPress用プラグインPost Meta Data Managerに特権昇格の脆弱性、マルチサイト環境での権限管理に問題

【CVE-2024-13835】WordPress用プラグインPost Meta Data M...

WordPressのPost Meta Data Managerプラグインにおいて、バージョン1.4.3以前に特権昇格の脆弱性が発見された。CVE-2024-13835として識別されるこの脆弱性は、マルチサイト環境での権限検証が不適切なため、管理者権限を持つ攻撃者が本来アクセスできないサブサイトでの特権を取得できる問題を引き起こす。CVSSスコアは7.2でHighと評価されており、早急な対応が必要とされている。

【CVE-2024-13835】WordPress用プラグインPost Meta Data M...

WordPressのPost Meta Data Managerプラグインにおいて、バージョン1.4.3以前に特権昇格の脆弱性が発見された。CVE-2024-13835として識別されるこの脆弱性は、マルチサイト環境での権限検証が不適切なため、管理者権限を持つ攻撃者が本来アクセスできないサブサイトでの特権を取得できる問題を引き起こす。CVSSスコアは7.2でHighと評価されており、早急な対応が必要とされている。

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆弱性、複数バージョンで修正が必要に

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...

dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...

dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェクションの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画面のニュース編集機能に深刻な影響

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画...

ftcms 2.1のadmin/index.php/news/editファイルにおいて、title引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(4.8)と評価されているものの、exploitコードが公開済みで、開発元の対応が見られない状況だ。管理者権限を持つユーザーの操作を必要とするが、複数のパラメータにも影響が及ぶ可能性が指摘されている。

【CVE-2025-2133】ftcms 2.1にクロスサイトスクリプティングの脆弱性、管理画...

ftcms 2.1のadmin/index.php/news/editファイルにおいて、title引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(4.8)と評価されているものの、exploitコードが公開済みで、開発元の対応が見られない状況だ。管理者権限を持つユーザーの操作を必要とするが、複数のパラメータにも影響が及ぶ可能性が指摘されている。

SalesforceがAgentforce 2dxを発表、自律型AIエージェント構築プラットフォームの最新版を4月提供開始

SalesforceがAgentforce 2dxを発表、自律型AIエージェント構築プラットフ...

米Salesforceが自律型AIエージェント構築プラットフォーム「Agentforce」の最新版となる「Agentforce 2dx」を発表した。AIエージェントが人間の監視なしでプロアクティブに機能する新機能を搭載し、開発者向けの新ツール群とマーケットプレイス「AgentExchange」も導入。完全版は2025年4月から提供開始予定で、一部機能は3月5日から先行公開されている。

SalesforceがAgentforce 2dxを発表、自律型AIエージェント構築プラットフ...

米Salesforceが自律型AIエージェント構築プラットフォーム「Agentforce」の最新版となる「Agentforce 2dx」を発表した。AIエージェントが人間の監視なしでプロアクティブに機能する新機能を搭載し、開発者向けの新ツール群とマーケットプレイス「AgentExchange」も導入。完全版は2025年4月から提供開始予定で、一部機能は3月5日から先行公開されている。

Windows 11 Insider Preview Build 26120.3380が公開、File Explorer機能とリアルタイム翻訳機能が大幅に進化

Windows 11 Insider Preview Build 26120.3380が公開、...

MicrosoftがWindows 11 Insider Preview Build 26120.3380を公開。File Explorer Homeに推奨ファイル表示機能を追加し、AMD・Intel搭載Copilot+ PCで中国語を含む25言語以上のリアルタイム翻訳に対応。さらにウェブ開発者向けのウィジェット開発機能も導入され、Windows 11の機能性が大幅に向上。DevチャネルとBetaチャネルのユーザーが利用可能となっている。

Windows 11 Insider Preview Build 26120.3380が公開、...

MicrosoftがWindows 11 Insider Preview Build 26120.3380を公開。File Explorer Homeに推奨ファイル表示機能を追加し、AMD・Intel搭載Copilot+ PCで中国語を含む25言語以上のリアルタイム翻訳に対応。さらにウェブ開発者向けのウィジェット開発機能も導入され、Windows 11の機能性が大幅に向上。DevチャネルとBetaチャネルのユーザーが利用可能となっている。

MicrosoftがSharePoint Framework権限管理システムを刷新、PowerShellスクリプトによる柔軟な管理機能を実装

MicrosoftがSharePoint Framework権限管理システムを刷新、Power...

MicrosoftはSharePoint Frameworkの権限管理システムを2025年3月第2週より刷新する。従来の「SharePoint Online Client Extensibility Web Application Principal」から「SharePoint Online Web Client Extensibility」アプリケーションへの移行が実施され、既存の権限は自動的に引き継がれる。また、PowerShellスクリプトの提供により、SharePoint Online Tenant Administration以外での柔軟な権限管理が可能になる。

MicrosoftがSharePoint Framework権限管理システムを刷新、Power...

MicrosoftはSharePoint Frameworkの権限管理システムを2025年3月第2週より刷新する。従来の「SharePoint Online Client Extensibility Web Application Principal」から「SharePoint Online Web Client Extensibility」アプリケーションへの移行が実施され、既存の権限は自動的に引き継がれる。また、PowerShellスクリプトの提供により、SharePoint Online Tenant Administration以外での柔軟な権限管理が可能になる。

MicrosoftがVisual Studioサブスクライバー向けCloud Academy無料アクセスを開始、AI搭載学習支援で開発者のスキル向上を促進

MicrosoftがVisual Studioサブスクライバー向けCloud Academy無...

MicrosoftはVisual Studio ProfessionalおよびEnterpriseサブスクライバーに向けて、QA社のCloud Academyへの12か月間の無料アクセスを提供開始。221のハンズオンラボや330のレッスンを含む実践的な学習環境と、AI搭載の学習アシスタントElaによる24時間サポートを提供し、開発者のクラウドスキル習得を支援する。

MicrosoftがVisual Studioサブスクライバー向けCloud Academy無...

MicrosoftはVisual Studio ProfessionalおよびEnterpriseサブスクライバーに向けて、QA社のCloud Academyへの12か月間の無料アクセスを提供開始。221のハンズオンラボや330のレッスンを含む実践的な学習環境と、AI搭載の学習アシスタントElaによる24時間サポートを提供し、開発者のクラウドスキル習得を支援する。

SalesforceがAgentforce 2dxを発表、自律型AIエージェントによる業務フロー最適化を実現へ

SalesforceがAgentforce 2dxを発表、自律型AIエージェントによる業務フロ...

Salesforceは2025年3月5日、自律型AIエージェントを業務フローに導入するためのプラットフォーム「Agentforce 2dx」を米国で発表した。プロアクティブな自律型AIの組み込みやローコード/プロコードツールの提供、AgentExchangeマーケットプレイスの開設など、包括的な機能強化により、企業のデジタル労働力の拡張を支援する。4月からの完全版リリースに向け、一部機能の先行提供も開始された。

SalesforceがAgentforce 2dxを発表、自律型AIエージェントによる業務フロ...

Salesforceは2025年3月5日、自律型AIエージェントを業務フローに導入するためのプラットフォーム「Agentforce 2dx」を米国で発表した。プロアクティブな自律型AIの組み込みやローコード/プロコードツールの提供、AgentExchangeマーケットプレイスの開設など、包括的な機能強化により、企業のデジタル労働力の拡張を支援する。4月からの完全版リリースに向け、一部機能の先行提供も開始された。

Lumosがエージェントハブにノーコード機能を追加、転職エージェントのエントリーシート作成が容易に

Lumosがエージェントハブにノーコード機能を追加、転職エージェントのエントリーシート作成が容易に

株式会社Lumosが運営する人材エージェント向け情報管理システム「エージェントハブ」が、ノーコードでエントリーシート作成が可能な新機能をリリース。面談前のヒアリングシートや広告の流入先など、様々な用途で活用できるエントリーシートを柔軟に作成可能。収集したデータは自動で管理画面に蓄積され、求職者情報の一元管理を実現する。

Lumosがエージェントハブにノーコード機能を追加、転職エージェントのエントリーシート作成が容易に

株式会社Lumosが運営する人材エージェント向け情報管理システム「エージェントハブ」が、ノーコードでエントリーシート作成が可能な新機能をリリース。面談前のヒアリングシートや広告の流入先など、様々な用途で活用できるエントリーシートを柔軟に作成可能。収集したデータは自動で管理画面に蓄積され、求職者情報の一元管理を実現する。