Tech Insights

京都府がeスポーツ振興事業2024を展開、DX人材育成と地域活性化を推進する新しい取り組みに注目

京都府がeスポーツ振興事業2024を展開、DX人材育成と地域活性化を推進する新しい取り組みに注目

京都eスポーツ振興協議会は、京都eスポーツ振興事業2024が京都府の補助金対象事業に認定されたことを発表した。サンガスタジアムby KYOCERAでは、フォートナイト大会や就労支援フェス、英会話・プログラミングセミナーなど、多彩なプログラムを展開。eスポーツを活用したDX人材育成と地域活性化の新モデルとして注目を集めている。

京都府がeスポーツ振興事業2024を展開、DX人材育成と地域活性化を推進する新しい取り組みに注目

京都eスポーツ振興協議会は、京都eスポーツ振興事業2024が京都府の補助金対象事業に認定されたことを発表した。サンガスタジアムby KYOCERAでは、フォートナイト大会や就労支援フェス、英会話・プログラミングセミナーなど、多彩なプログラムを展開。eスポーツを活用したDX人材育成と地域活性化の新モデルとして注目を集めている。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆弱性、未認証攻撃者によるスクリプト実行の危険性

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2024-13711】WordPressプラグインPollin1.01.1にXSS脆...

WordPressプラグインPollinにおいて、バージョン1.01.1以前の全バージョンでReflected XSSの脆弱性が発見された。CVE-2024-13711として識別されるこの脆弱性は、入力検証とエスケープ処理の不備により、未認証の攻撃者が悪意のあるスクリプトを注入可能。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-1361】IP2Location Country Blockerに重大な認可機能の不備、未認証アクセスによる設定情報漏洩の危険性

【CVE-2025-1361】IP2Location Country Blockerに重大な認...

WordPressプラグインのIP2Location Country Blockerにおいて、バージョン2.38.8以前に重大な認可機能の不備が発見された。admin_init関数における認可チェックの欠如により、未認証の攻撃者がプラグインの設定情報を閲覧可能な状態となっている。CVSSスコア7.5のHIGHレベルと評価されており、早急な対応が必要とされている。

【CVE-2025-1361】IP2Location Country Blockerに重大な認...

WordPressプラグインのIP2Location Country Blockerにおいて、バージョン2.38.8以前に重大な認可機能の不備が発見された。admin_init関数における認可チェックの欠如により、未認証の攻撃者がプラグインの設定情報を閲覧可能な状態となっている。CVSSスコア7.5のHIGHレベルと評価されており、早急な対応が必要とされている。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱性、バージョン1.3.7以下で発見

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2024-57026】TawkTo Widgetにクロスサイトスクリプティングの脆弱...

チャットウィジェットサービスTawkTo Widgetのバージョン1.3.7以下にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2024-57026として識別されるこの脆弱性は、ユーザー入力の不適切な処理によってJavaScriptコードの実行が可能になる問題。CISAによってCVSSスコア6.1(中程度)と評価され、特別な権限なしで攻撃可能だが、ユーザーの操作が必要となる。

【CVE-2024-13638】Order Attachments for WooCommerceに深刻な脆弱性、機密情報漏洩のリスクが判明

【CVE-2024-13638】Order Attachments for WooCommer...

WordPressプラグインOrder Attachments for WooCommerceのバージョン2.5.1以前に情報漏洩の脆弱性が発見された。未認証の攻撃者がwp-content/uploadsディレクトリを介して注文添付ファイルにアクセス可能な状態となっており、CVSSスコア5.9のMEDIUM深刻度に分類される。特権不要でユーザー操作も必要としないため、早急な対応が求められる。

【CVE-2024-13638】Order Attachments for WooCommer...

WordPressプラグインOrder Attachments for WooCommerceのバージョン2.5.1以前に情報漏洩の脆弱性が発見された。未認証の攻撃者がwp-content/uploadsディレクトリを介して注文添付ファイルにアクセス可能な状態となっており、CVSSスコア5.9のMEDIUM深刻度に分類される。特権不要でユーザー操作も必要としないため、早急な対応が求められる。

【CVE-2025-1571】Exclusive Addons for Elementorに重大な脆弱性、認証済みユーザーによる攻撃の可能性が浮上

【CVE-2025-1571】Exclusive Addons for Elementorに重...

WordPressプラグインのExclusive Addons for Elementorにおいて、バージョン2.7.6以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。アニメーションテキストと画像比較ウィジェットに影響し、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4で評価され、早急な対応が必要とされている。

【CVE-2025-1571】Exclusive Addons for Elementorに重...

WordPressプラグインのExclusive Addons for Elementorにおいて、バージョン2.7.6以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。アニメーションテキストと画像比較ウィジェットに影響し、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4で評価され、早急な対応が必要とされている。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要で任意のスクリプト実行が可能に

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

【CVE-2025-1513】Contest GalleryプラグインでXSS脆弱性、認証不要...

WordPressプラグイン「Contest Gallery」にて重大な脆弱性が発見された。バージョン26.0.0.1以前が影響を受けるこの脆弱性は、写真ギャラリーのコメント機能における入力検証の不備に起因する。認証不要で悪用可能であり、CVSSスコア7.2のHigh評価とされている。攻撃者は任意のスクリプトを注入でき、ユーザーがアクセスした際に実行される危険性がある。

【CVE-2025-26988】WordPress SMS Alert Order Notifications 3.7.8にSQLインジェクションの脆弱性、緊急アップデートの適用が必要に

【CVE-2025-26988】WordPress SMS Alert Order Notif...

Patchstack OÜは2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications - WooCommerce」のバージョン3.7.8以前にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア9.3のクリティカルな評価を受けており、特別な権限や利用者の操作を必要とせずに遠隔から攻撃を実行できる可能性がある。Cozy Vision社は脆弱性に対応したバージョン3.7.9をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26988】WordPress SMS Alert Order Notif...

Patchstack OÜは2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications - WooCommerce」のバージョン3.7.8以前にSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア9.3のクリティカルな評価を受けており、特別な権限や利用者の操作を必要とせずに遠隔から攻撃を実行できる可能性がある。Cozy Vision社は脆弱性に対応したバージョン3.7.9をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order Notificationsにクロスサイトスクリプティングの脆弱性、バージョン3.7.8以前に影響

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-26984】WordPress用プラグインSMS Alert Order ...

Patchstack OÜが2025年3月3日、WordPress用プラグイン「SMS Alert Order Notifications」にXSS脆弱性が存在することを公開した。CVSSスコア7.1の高リスク脆弱性として評価されており、バージョン3.7.8以前のすべてのバージョンが影響を受ける。開発元のCozy Visionは修正版としてバージョン3.7.9をリリースしており、ユーザーには早急なアップデートが推奨される。

【CVE-2025-1902】PHPGurukul Student Record System 3.2にSQLインジェクションの脆弱性、学生情報漏洩のリスクが発生

【CVE-2025-1902】PHPGurukul Student Record System...

PHPGurukul Student Record System 3.2のpassword-recovery.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1902として識別されるこの脆弱性は、emailidパラメータの不適切な処理に起因しており、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1で7.3(HIGH)と評価され、既にエクスプロイトコードが公開されているため、早急な対応が必要とされている。

【CVE-2025-1902】PHPGurukul Student Record System...

PHPGurukul Student Record System 3.2のpassword-recovery.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1902として識別されるこの脆弱性は、emailidパラメータの不適切な処理に起因しており、リモートからの攻撃が可能。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1で7.3(HIGH)と評価され、既にエクスプロイトコードが公開されているため、早急な対応が必要とされている。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bounds Read脆弱性が発見、ローカル攻撃によるDOS攻撃のリスクに

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリインストールアプリで任意コード実行の可能性

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

Azure Developer CLI 1.13.0がAI機能とデータベース機能を強化、クラウド開発の効率化を実現

Azure Developer CLI 1.13.0がAI機能とデータベース機能を強化、クラウ...

MicrosoftがAzure Developer CLI version 1.13.0をリリースし、Azure AI ServicesモデルやAI Foundryリソースのサポートを追加。Cosmos DBやMySQL、Key Vaultなどの重要サービスにも対応し、AIアプリケーション開発からデータベース管理まで、包括的な開発環境を提供。新たに追加されたdocker言語タイプにより、様々なプログラミング言語でのコンテナ化アプリケーション開発も容易に。

Azure Developer CLI 1.13.0がAI機能とデータベース機能を強化、クラウ...

MicrosoftがAzure Developer CLI version 1.13.0をリリースし、Azure AI ServicesモデルやAI Foundryリソースのサポートを追加。Cosmos DBやMySQL、Key Vaultなどの重要サービスにも対応し、AIアプリケーション開発からデータベース管理まで、包括的な開発環境を提供。新たに追加されたdocker言語タイプにより、様々なプログラミング言語でのコンテナ化アプリケーション開発も容易に。

Semantic KernelがAWS Bedrock Agentsと統合、AIアプリケーション開発の効率化を実現

Semantic KernelがAWS Bedrock Agentsと統合、AIアプリケーショ...

Semantic KernelがAWS Bedrock Agentsとの統合機能を発表。AWS上の各種AIモデルとカーネル機能の連携が可能になり、コード解釈やRAGなどの高度な機能をAWSのナレッジベースと組み合わせて実現できる。Python/.NETでのエージェント作成と利用が容易になり、マルチクラウドAIソリューションの開発効率が向上する。

Semantic KernelがAWS Bedrock Agentsと統合、AIアプリケーショ...

Semantic KernelがAWS Bedrock Agentsとの統合機能を発表。AWS上の各種AIモデルとカーネル機能の連携が可能になり、コード解釈やRAGなどの高度な機能をAWSのナレッジベースと組み合わせて実現できる。Python/.NETでのエージェント作成と利用が容易になり、マルチクラウドAIソリューションの開発効率が向上する。

株式会社RabeeがSvelte×Tailwind CSSのUIコンポーネント集を開発、カスタマイズ性の高いWeb開発環境の実現へ

株式会社RabeeがSvelte×Tailwind CSSのUIコンポーネント集を開発、カスタ...

株式会社Rabeeは2025年春、SvelteとTailwind CSSを利用したUIコンポーネント集「Rabee UI」をリリース予定だ。カスタマイズを前提とした「UIコンポーネントの種」を提供し、プロダクトの要件に合わせて柔軟な対応が可能となる。AIを活用したカスタマイズ機能も提供され、デザインとコードのギャップを埋める次世代のWeb開発環境を実現する。

株式会社RabeeがSvelte×Tailwind CSSのUIコンポーネント集を開発、カスタ...

株式会社Rabeeは2025年春、SvelteとTailwind CSSを利用したUIコンポーネント集「Rabee UI」をリリース予定だ。カスタマイズを前提とした「UIコンポーネントの種」を提供し、プロダクトの要件に合わせて柔軟な対応が可能となる。AIを活用したカスタマイズ機能も提供され、デザインとコードのギャップを埋める次世代のWeb開発環境を実現する。

paizaラーニングが学校向け管理機能とテスト機能を実装、プログラミング教育の効率化を実現

paizaラーニングが学校向け管理機能とテスト機能を実装、プログラミング教育の効率化を実現

paiza株式会社は教育機関向けサービス「paizaラーニング 学校フリーパス」に先生向け管理画面とテスト機能を追加した。2,000問以上の問題からテストを作成でき、自動採点や結果集集計が可能。574校、12万人が利用する実績を持つ同サービスは、300レッスン、2,300動画、4,800問の演習課題を提供し、プログラミング教育を支援している。

paizaラーニングが学校向け管理機能とテスト機能を実装、プログラミング教育の効率化を実現

paiza株式会社は教育機関向けサービス「paizaラーニング 学校フリーパス」に先生向け管理画面とテスト機能を追加した。2,000問以上の問題からテストを作成でき、自動採点や結果集集計が可能。574校、12万人が利用する実績を持つ同サービスは、300レッスン、2,300動画、4,800問の演習課題を提供し、プログラミング教育を支援している。

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に重大な脆弱性、複数バージョンで修正パッチ提供開始

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に...

Linux kernelの開発チームは2025年2月27日、LoongArchアーキテクチャのIPチェックサム処理における深刻な脆弱性を修正したことを発表した。この問題はコミットID 69e3a6aa6be2で導入された64ビットシステム向けのチェックサム最適化機能に起因しており、負の長さの入力時に未定義のシフト操作とバッファオーバーフローが発生する。影響を受けるバージョンは6.4以降の特定範囲で、既に複数の修正パッチが提供されている。

【CVE-2025-21789】Linux kernelのLoongArchチェックサム処理に...

Linux kernelの開発チームは2025年2月27日、LoongArchアーキテクチャのIPチェックサム処理における深刻な脆弱性を修正したことを発表した。この問題はコミットID 69e3a6aa6be2で導入された64ビットシステム向けのチェックサム最適化機能に起因しており、負の長さの入力時に未定義のシフト操作とバッファオーバーフローが発生する。影響を受けるバージョンは6.4以降の特定範囲で、既に複数の修正パッチが提供されている。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」に認証バイパスとPHPオブジェクトインジェクションの重大な脆弱性が発見

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョンに深刻なXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13609】1 Click WordPress Migration Pluginにおける認証不要の情報漏洩脆弱性が発見、バージョン2.1以前に影響

【CVE-2024-13609】1 Click WordPress Migration Plu...

WordPressプラグイン「1 Click WordPress Migration Plugin」にセキュリティ脆弱性が発見された。バージョン2.1以前の全バージョンで、認証されていない攻撃者がバックアップ処理中にユーザー名やパスワードハッシュなどの機密情報を抽出可能な状態となっている。CVE-2024-13609として識別され、CVSSスコア5.9のMedium評価となっている。早急なバージョンアップデートによる対策が推奨される。

【CVE-2024-13609】1 Click WordPress Migration Plu...

WordPressプラグイン「1 Click WordPress Migration Plugin」にセキュリティ脆弱性が発見された。バージョン2.1以前の全バージョンで、認証されていない攻撃者がバックアップ処理中にユーザー名やパスワードハッシュなどの機密情報を抽出可能な状態となっている。CVE-2024-13609として識別され、CVSSスコア5.9のMedium評価となっている。早急なバージョンアップデートによる対策が推奨される。

【CVE-2024-13622】WooCommerce File Uploads Addonに深刻な脆弱性、顧客データの漏洩リスクが浮上

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証不要で任意のショートコード実行が可能に

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグイン設定リセットの脆弱性、WordFenceが報告

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグ...

WordFenceは2025年2月18日、WordPress用プラグイン「Mortgage Lead Capture System」のバージョン8.2.10以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、プラグインの設定を不正にリセットすることが可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグ...

WordFenceは2025年2月18日、WordPress用プラグイン「Mortgage Lead Capture System」のバージョン8.2.10以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、プラグインの設定を不正にリセットすることが可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2024-13522】magayo Lottery Results 2.0.12にCSRF脆弱性、管理者権限での不正実行の危険性

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以前に深刻な脆弱性、未認証状態でフルパス情報が漏洩する危険性

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱性、未認証攻撃者による任意スクリプト実行が可能に

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System 1.0にXSS脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要な情報漏洩の脆弱性、ユーザーデータ流出のリスクに警戒

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。