Tech Insights

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介した攻撃の可能性

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...

OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。

OpenHarmony v5.0.2で範囲外書き込みの脆弱性が発見、プリインストールアプリを介...

OpenHarmonyのArkcompiler Ets Runtimeに重大な脆弱性が発見された。v4.1.0からv5.0.2までのバージョンが影響を受け、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVE-2025-23240として識別され、CVSSスコアは3.8(Low)と評価されているが、システムの整合性を損なう可能性があるため注意が必要である。

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性、プリインストールアプリの任意コード実行が可能に

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...

OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。

【CVE-2025-20024】OpenHarmony v5.0.2に整数オーバーフロー脆弱性...

OpenHarmonyプロジェクトは2025年3月4日、Arkcompiler Ets Runtimeにおける整数オーバーフロー脆弱性(CVE-2025-20024)を公開した。v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意のコード実行を可能にする問題が報告されている。CVSSスコアは3.8と低く評価され、攻撃には制限された条件が必要とされる。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Runtimeに境界外読み取りの脆弱性、v4.1.0からv5.0.2まで影響

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見、Dsoftbusモジュールでメモリ管理に問題

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Runtimeに脆弱性、プリインストールアプリへの影響に注意

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2025-23420】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyのArkcompiler Ets Runtimeにバッファオーバーフローの脆弱性が発見された。CVE-2025-23420として識別されるこの脆弱性は、v5.0.2以前のバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能となる。CVSSスコアは3.8(Low)と評価されているが、適切なパッチ適用による対策が推奨される。

【CVE-2025-23409】OpenHarmony v5.0.2でUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-23409】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF脆弱性が発見された。CVE-2025-23409として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意コード実行を可能にする。CVSSスコアは3.8(Low)と評価されており、ローカル環境での攻撃が可能だ。

【CVE-2025-23409】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF脆弱性が発見された。CVE-2025-23409として識別されるこの脆弱性は、v4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションでの任意コード実行を可能にする。CVSSスコアは3.8(Low)と評価されており、ローカル環境での攻撃が可能だ。

【CVE-2025-0912】GiveWP 3.19.4に未認証のPHPオブジェクトインジェクション脆弱性、リモートコード実行の危険性が判明

【CVE-2025-0912】GiveWP 3.19.4に未認証のPHPオブジェクトインジェク...

WordPressの寄付プラグインGiveWPのバージョン3.19.4以前に、未認証のPHPオブジェクトインジェクション脆弱性が発見された。寄付フォームの「card_address」パラメータを介して攻撃が可能で、POPチェーンの存在によりリモートコード実行のリスクがある。CVSS評価は9.8のクリティカルで、特別な権限なしで攻撃可能な深刻な脆弱性となっている。

【CVE-2025-0912】GiveWP 3.19.4に未認証のPHPオブジェクトインジェク...

WordPressの寄付プラグインGiveWPのバージョン3.19.4以前に、未認証のPHPオブジェクトインジェクション脆弱性が発見された。寄付フォームの「card_address」パラメータを介して攻撃が可能で、POPチェーンの存在によりリモートコード実行のリスクがある。CVSS評価は9.8のクリティカルで、特別な権限なしで攻撃可能な深刻な脆弱性となっている。

DeepLがAI翻訳機能Clarifyを発表、20万社以上のビジネス顧客向けに高精度な翻訳とインタラクティブな体験を提供

DeepLがAI翻訳機能Clarifyを発表、20万社以上のビジネス顧客向けに高精度な翻訳とイ...

DeepLは次世代大規模言語モデルを搭載した革新的な翻訳機能「Clarify」を発表した。この新機能は翻訳プロセス全体でユーザーと対話しながら曖昧さを解消し、高品質な翻訳を実現する。既存の翻訳精度の高さに加え、インタラクティブな協働により、ビジネスコミュニケーションにおける翻訳の正確性と効率性を大幅に向上させる。現在は英語とドイツ語に対応しており、今後さらに多くの言語への展開を予定している。

DeepLがAI翻訳機能Clarifyを発表、20万社以上のビジネス顧客向けに高精度な翻訳とイ...

DeepLは次世代大規模言語モデルを搭載した革新的な翻訳機能「Clarify」を発表した。この新機能は翻訳プロセス全体でユーザーと対話しながら曖昧さを解消し、高品質な翻訳を実現する。既存の翻訳精度の高さに加え、インタラクティブな協働により、ビジネスコミュニケーションにおける翻訳の正確性と効率性を大幅に向上させる。現在は英語とドイツ語に対応しており、今後さらに多くの言語への展開を予定している。

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。

mablが生成AIテスト作成とPlaywright統合を発表、テスト自動化の効率性が大幅に向上

mabl社が新機能として生成AIによるテスト作成機能とmabl Tools for Playwrightを発表。生成AIによってテスト作成プロセスを効率化し、Playwright統合により開発者とQAのシームレスな連携を実現。統合レポート機能の追加により、アプリケーション品質の包括的な可視化が可能に。テストの民主化を推進し、ソフトウェア開発の効率化を加速する。

【CVE-2025-24412】Adobe Commerce 2.4.8-beta1以前のバージョンに深刻なXSS脆弱性、セッション乗っ取りのリスクに警戒

【CVE-2025-24412】Adobe Commerce 2.4.8-beta1以前のバー...

Adobe社がCommerce 2.4.8-beta1以前のバージョンにおける重大な脆弱性を公表した。低権限の攻撃者による悪意のあるスクリプト注入が可能で、CVSSスコア8.7の高リスク評価となっている。被害者がスクリプトの埋め込まれたページを閲覧した際にJavaScriptが実行され、セッション乗っ取りによる情報漏洩のリスクが指摘されている。影響範囲は広く、早急な対応が求められる。

【CVE-2025-24412】Adobe Commerce 2.4.8-beta1以前のバー...

Adobe社がCommerce 2.4.8-beta1以前のバージョンにおける重大な脆弱性を公表した。低権限の攻撃者による悪意のあるスクリプト注入が可能で、CVSSスコア8.7の高リスク評価となっている。被害者がスクリプトの埋め込まれたページを閲覧した際にJavaScriptが実行され、セッション乗っ取りによる情報漏洩のリスクが指摘されている。影響範囲は広く、早急な対応が求められる。

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Contributor権限で任意スクリプト実行の可能性

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...

WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。

【CVE-2025-0506】Rise Blocksプラグイン3.6以前にXSS脆弱性、Con...

WordPressのGutenbergページビルダープラグイン「Rise Blocks」のバージョン3.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(中)と評価。titleTagパラメータの入力検証が不十分なことが原因であり、早急な対策が必要とされている。

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権限昇格が可能に

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...

WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。

【CVE-2024-13653】ZoxPressテーマの重大な脆弱性、認証済みユーザーによる権...

WordPressのニュースサイト構築用テーマZoxPressにおいて、バージョン2.12.0以前の全バージョンで重大な脆弱性が発見された。backup_options機能における権限チェックの欠如により、Subscriber以上の権限を持つユーザーが管理者権限を取得可能となる。CVSSスコア8.8のHIGHレベル評価で、早急な対策が必要とされている。

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性、SQLインジェクション攻撃のリスクが明らかに

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...

WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。

【CVE-2025-0821】WordPressのBit Assistプラグインに深刻な脆弱性...

WordPressのチャットウィジェットプラグイン「Bit Assist」のバージョン1.5.2以前に、SQLインジェクションの脆弱性が発見された。CVSSスコア6.5のこの脆弱性は、認証済みユーザーによるデータベースからの機密情報抽出を可能にする。不十分なエスケープ処理とSQLクエリの準備不足が原因で、早急な対策が求められている。

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱性が発見、早急な対応が必要

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...

WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。

【CVE-2024-13641】WooCommerceプラグインにおける認証なしの情報漏洩脆弱...

WordPressプラグイン「Return Refund and Exchange For WooCommerce」において、認証されていないユーザーが機密情報にアクセス可能な脆弱性が発見された。バージョン4.4.5以前の全バージョンが影響を受け、CVSSスコアは5.9でMedium評価。wp-content/attachmentディレクトリ内の注文返金関連ファイルが適切に保護されておらず、早急なアップデートが推奨されている。

【CVE-2024-13488】WordPress用プラグインLTL Freight Quotes – Estes Editionに認証不要のSQL injection脆弱性が発見

【CVE-2024-13488】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – Estes Edition」のバージョン3.3.7以前に、認証なしでデータベースから機密情報を抽出可能なSQL injection脆弱性が発見された。CVSSスコア7.5で「HIGH」評価のこの脆弱性は、パラメータのエスケープ処理不足が原因で、早急な対応が必要だ。

【CVE-2024-13488】WordPress用プラグインLTL Freight Quot...

WordPressプラグイン「LTL Freight Quotes – Estes Edition」のバージョン3.3.7以前に、認証なしでデータベースから機密情報を抽出可能なSQL injection脆弱性が発見された。CVSSスコア7.5で「HIGH」評価のこの脆弱性は、パラメータのエスケープ処理不足が原因で、早急な対応が必要だ。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アクセスのリスクで緊急アップデートを推奨

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26616】WeGIAにパストラバーサルの脆弱性、設定ファイルへの不正アク...

GitHubは2025年2月18日、ポルトガル語圏向け施設管理システムWeGIAにパストラバーサル脆弱性(CVE-2025-26616)を発見したと発表した。この脆弱性により、攻撃者はconfig.phpファイルに不正アクセスし、データベースの認証情報を取得できる可能性がある。CVSSスコア10.0の最高レベルの深刻度と評価され、開発元は脆弱性を修正したバージョン3.2.14へのアップデートを推奨している。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10.0の緊急事態に

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

【CVE-2025-26612】WeGIAにSQLインジェクションの脆弱性、CVSSスコア10...

ポルトガル語ユーザー向けオープンソースWeb管理ツールWeGIAで深刻なSQLインジェクションの脆弱性が発見された。adicionar_almoxarife.phpエンドポイントに存在するこの脆弱性は、攻撃者による任意のSQLクエリ実行を可能にし、機密情報への不正アクセスのリスクが指摘されている。CVSSスコア10.0の緊急性の高い脆弱性として、バージョン3.2.13での修正が提供されている。

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3.2.13で修正完了

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3....

ポルトガル語圏向けオープンソースWebマネージャーWeGIAのdocumento_excluir.phpエンドポイントにおいて、重大なSQLインジェクション脆弱性が発見された。CVSSスコア10.0を記録したこの脆弱性は、任意のSQLクエリ実行とデータベースへの不正アクセスを許す可能性があり、開発元のLabRedesCefetRJ社はバージョン3.2.13で修正を実施。影響を受けるバージョンのユーザーには早急な更新が推奨されている。

【CVE-2025-26607】WeGIAにSQLインジェクション脆弱性が発見、バージョン3....

ポルトガル語圏向けオープンソースWebマネージャーWeGIAのdocumento_excluir.phpエンドポイントにおいて、重大なSQLインジェクション脆弱性が発見された。CVSSスコア10.0を記録したこの脆弱性は、任意のSQLクエリ実行とデータベースへの不正アクセスを許す可能性があり、開発元のLabRedesCefetRJ社はバージョン3.2.13で修正を実施。影響を受けるバージョンのユーザーには早急な更新が推奨されている。

【CVE-2025-1465】lmxcms 1.41でコード注入の脆弱性が発見、遠隔攻撃の可能性が指摘される

【CVE-2025-1465】lmxcms 1.41でコード注入の脆弱性が発見、遠隔攻撃の可能...

2025年2月19日、lmxcms 1.41のメンテナンス機能においてコード注入の脆弱性が発見された。db.inc.phpファイルに影響を及ぼすこの脆弱性は遠隔から攻撃可能だが、高い特権レベルが必要で実行は困難とされている。CVSSスコアは3.0/3.1で4.1(中程度)、4.0では2.1(低)と評価されており、エクスプロイトコードが既に公開されている状態だ。

【CVE-2025-1465】lmxcms 1.41でコード注入の脆弱性が発見、遠隔攻撃の可能...

2025年2月19日、lmxcms 1.41のメンテナンス機能においてコード注入の脆弱性が発見された。db.inc.phpファイルに影響を及ぼすこの脆弱性は遠隔から攻撃可能だが、高い特権レベルが必要で実行は困難とされている。CVSSスコアは3.0/3.1で4.1(中程度)、4.0では2.1(低)と評価されており、エクスプロイトコードが既に公開されている状態だ。

【CVE-2025-1174】1000 Projects Bookstore Management System 1.0にクロスサイトスクリプティングの脆弱性、Book Name引数を介した攻撃が可能

【CVE-2025-1174】1000 Projects Bookstore Manageme...

1000 Projects Bookstore Management System 1.0のAdd Book Pageコンポーネントに深刻な脆弱性が発見された。process_book_add.phpファイルのBook Name引数に影響を与えるクロスサイトスクリプティングの問題で、リモートから攻撃を実行可能。CVSSスコアは最大で4.8(MEDIUM)を記録し、エクスプロイトも公開済み。高い特権レベルは必要だが、他のパラメータにも影響が及ぶ可能性が指摘されている。

【CVE-2025-1174】1000 Projects Bookstore Manageme...

1000 Projects Bookstore Management System 1.0のAdd Book Pageコンポーネントに深刻な脆弱性が発見された。process_book_add.phpファイルのBook Name引数に影響を与えるクロスサイトスクリプティングの問題で、リモートから攻撃を実行可能。CVSSスコアは最大で4.8(MEDIUM)を記録し、エクスプロイトも公開済み。高い特権レベルは必要だが、他のパラメータにも影響が及ぶ可能性が指摘されている。

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェクションの脆弱性、管理者権限で重要データの改ざんが可能に

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェ...

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0以前のバージョンに重大なSQLインジェクションの脆弱性を発見したことを公開した。EditEventAttendeesのEIDパラメータにおいて、適切なサニタイズ処理がされていない実装により、管理者権限を持つ攻撃者がデータベースを操作可能な状態となっている。CVSSスコア9.3のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2025-1133】ChurchCRM 5.13.0以前のバージョンにSQLインジェ...

Gridware Cybersecurityは2025年2月19日、ChurchCRM 5.13.0以前のバージョンに重大なSQLインジェクションの脆弱性を発見したことを公開した。EditEventAttendeesのEIDパラメータにおいて、適切なサニタイズ処理がされていない実装により、管理者権限を持つ攻撃者がデータベースを操作可能な状態となっている。CVSSスコア9.3のクリティカルな脆弱性として評価されており、早急な対応が必要とされている。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性、未認証ユーザーによる情報漏洩のリスクが発生

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2025-0968】ElementsKit Elementorアドオンに深刻な脆弱性...

WordPressプラグインのElementsKit Elementorアドオン3.4.0以前のバージョンに重大な脆弱性が発見された。get_megamenu_content関数の権限チェック不備により、未認証の攻撃者が非公開コンテンツにアクセス可能となる問題が報告されている。CVSSスコア5.3のMedium評価で、早急な対応が推奨される。影響を受けるサイト管理者は速やかなアップデートを検討すべき状況である。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不要で情報漏洩の危険性

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13491】WordPress用FedExプラグインに深刻な脆弱性、認証不...

WordPressプラグイン「Small Package Quotes – For Customers of FedEx」のバージョン4.3.1以前に、SQLインジェクションの脆弱性が発見された。認証なしで攻撃可能で、CVSSスコア7.5の高リスク脆弱性として評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理により、データベースからの機密情報漏洩が可能な状態となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quotesに深刻な脆弱性、データベース情報漏洩のリスクが発生

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13485】WordPress用プラグインLTL Freight Quot...

WordPressプラグインのLTL Freight Quotes - ABF Freight Editionにおいて、バージョン3.3.7以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5と高い危険度を示すこの脆弱性では、未認証の攻撃者がedit_idとdropship_edit_idパラメータを介してデータベースから機密情報を抽出できる重大な問題となっている。

【CVE-2024-13753】Ultimate Classified Listings 1.4以前にCSRF脆弱性、アカウント乗っ取りのリスクが発覚

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2024-13753】Ultimate Classified Listings 1....

WordPressプラグインのUltimate Classified Listingsにおいて、バージョン1.4以前に深刻な脆弱性が発見された。update_profile機能のnonce検証が不適切であることによりCSRF攻撃が可能となり、攻撃者によるアカウント乗っ取りのリスクが指摘されている。CVSSスコアは8.1でHigh評価に分類される深刻な脆弱性であり、早急な対応が必要とされている。

【CVE-2025-1576】Real Estate Property Management System 1.0にSQL injection脆弱性、リモート攻撃の可能性で早急な対応が必要に

【CVE-2025-1576】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、ajax_state.phpファイルのStateNameパラメータにSQL injection脆弱性が発見された。CVE-2025-1576として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃コードも公開されており、早急な対応が必要とされている。CVSSスコアは6.3(MEDIUM)と評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-1576】Real Estate Property Management ...

code-projects社のReal Estate Property Management System 1.0において、ajax_state.phpファイルのStateNameパラメータにSQL injection脆弱性が発見された。CVE-2025-1576として識別されるこの脆弱性は、リモートからの攻撃が可能で攻撃コードも公開されており、早急な対応が必要とされている。CVSSスコアは6.3(MEDIUM)と評価され、データベースセキュリティへの影響が懸念される。

【CVE-2025-1590】SourceCodester E-Learning System 1.0に重大な脆弱性、管理者モジュールのファイルアップロードに制限なし

【CVE-2025-1590】SourceCodester E-Learning System...

VulDBが2025年2月23日に公開した情報によると、SourceCodester E-Learning System 1.0の管理者モジュールに重大な脆弱性が発見された。CVE-2025-1590として識別されるこの脆弱性は、Lesson機能のindex.phpファイルに存在し、制限のないファイルアップロードが可能な状態となっている。CVSSスコアは中程度だが、リモートからの攻撃が可能で早急な対応が必要だ。

【CVE-2025-1590】SourceCodester E-Learning System...

VulDBが2025年2月23日に公開した情報によると、SourceCodester E-Learning System 1.0の管理者モジュールに重大な脆弱性が発見された。CVE-2025-1590として識別されるこの脆弱性は、Lesson機能のindex.phpファイルに存在し、制限のないファイルアップロードが可能な状態となっている。CVSSスコアは中程度だが、リモートからの攻撃が可能で早急な対応が必要だ。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョン1.1.21で修正パッチを適用

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

【CVE-2025-27143】Better Authにオープンリダイレクトの脆弱性、バージョ...

TypeScript向け認証・認可ライブラリBetter Authにおいて、スキームレスURLの検証不備によるオープンリダイレクトの脆弱性が発見された。この脆弱性により、攻撃者は悪意のある検証リンクを作成し、フィッシングやマルウェア配布、認証トークンの窃取に利用する可能性がある。CVSS 4.0でスコア6.9と評価され、バージョン1.1.21で修正パッチが適用された。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証での攻撃が可能に

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。

WordPressプラグインYawave2.9.1以前にSQLインジェクションの脆弱性、未認証...

WordPressプラグインYawaveにおいて、バージョン2.9.1以前の全バージョンでSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2025-1648として識別され、CVSSスコア7.5と高い深刻度を示している。未認証の攻撃者がlbidパラメータを介してデータベースから機密情報を抽出できる問題であり、早急な対策が必要となっている。