Tech Insights

Semantic KernelがAgent Framework RC1をリリース、エンタープライズ向けAIエージェント開発基盤が進化

Semantic KernelがAgent Framework RC1をリリース、エンタープラ...

Semantic Kernelチームが2025年2月28日にAgent Framework RC1をリリース。複数のAIプロバイダー対応とプラグイン機能の強化により、エンタープライズアプリケーション向けAIエージェント開発の効率化を実現。Azure AI Agent Service、AutoGen、AWS Bedrockなど主要なAIサービスに対応し、開発者は目的に応じて最適なサービスを選択可能に。

Semantic KernelがAgent Framework RC1をリリース、エンタープラ...

Semantic Kernelチームが2025年2月28日にAgent Framework RC1をリリース。複数のAIプロバイダー対応とプラグイン機能の強化により、エンタープライズアプリケーション向けAIエージェント開発の効率化を実現。Azure AI Agent Service、AutoGen、AWS Bedrockなど主要なAIサービスに対応し、開発者は目的に応じて最適なサービスを選択可能に。

TypeScriptチームが5.8をリリース、ECMAScriptモジュールのrequire()サポートで開発効率が向上

TypeScriptチームが5.8をリリース、ECMAScriptモジュールのrequire(...

TypeScript 5.8が2024年2月28日に正式リリースされ、return式のブランチに対する詳細なチェック機能やNode.js 22でのECMAScriptモジュールのrequire()サポートが追加された。新機能により型安全性が向上し、ライブラリ開発者のデュアルパブリッシング作業が軽減される。また、--erasableSyntaxOnlyフラグの導入でNode.jsでの直接実行に対応したコード作成が容易になった。

TypeScriptチームが5.8をリリース、ECMAScriptモジュールのrequire(...

TypeScript 5.8が2024年2月28日に正式リリースされ、return式のブランチに対する詳細なチェック機能やNode.js 22でのECMAScriptモジュールのrequire()サポートが追加された。新機能により型安全性が向上し、ライブラリ開発者のデュアルパブリッシング作業が軽減される。また、--erasableSyntaxOnlyフラグの導入でNode.jsでの直接実行に対応したコード作成が容易になった。

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベルの深刻度で早急な対応が必要に

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...

ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。

【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...

ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...

WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。

【CVE-2025-1597】Best Church Management Software 1.0にXSS脆弱性、教会管理システムのセキュリティに警鐘

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2025-1597】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.0において、管理者画面のredirect.phpファイルに深刻なクロスサイトスクリプティング脆弱性が発見された。CVE-2025-1597として識別されるこの脆弱性は、遠隔からの攻撃が可能で、システムの整合性に重大な影響を及ぼす可能性がある。開発元は現時点で対応を行っておらず、脆弱性情報が一般に公開された状態となっている。

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱性、内部サービスへの不正アクセスが可能な状態に

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...

WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。

【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...

WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性、APIキーやトークンの漏洩リスクが発生

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...

WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。

【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...

WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆弱性、APIキーなど重要情報の漏洩の危険性

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...

WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。

【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...

WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。

OpenAIが最新モデル「GPT-4.5」を発表、パターン認識と創造的洞察の能力が大幅に向上

OpenAIが最新モデル「GPT-4.5」を発表、パターン認識と創造的洞察の能力が大幅に向上

米OpenAIは2025年2月27日に最新の大規模言語モデル「GPT-4.5」を発表した。教師なし学習のスケールアップにより、パターン認識や関連性の整理、創造的な洞察生成能力が向上している。全世界のChatGPT Proユーザーと開発者向けにリサーチプレビューとして提供され、より広い知識ベース、ユーザーの意図を汲み取る能力の向上、進化した「EQ」を備えているのが特徴だ。ハルシネーションの低減も期待される。

OpenAIが最新モデル「GPT-4.5」を発表、パターン認識と創造的洞察の能力が大幅に向上

米OpenAIは2025年2月27日に最新の大規模言語モデル「GPT-4.5」を発表した。教師なし学習のスケールアップにより、パターン認識や関連性の整理、創造的な洞察生成能力が向上している。全世界のChatGPT Proユーザーと開発者向けにリサーチプレビューとして提供され、より広い知識ベース、ユーザーの意図を汲み取る能力の向上、進化した「EQ」を備えているのが特徴だ。ハルシネーションの低減も期待される。

モルフォAISとFastLabelがAIエージェントウェビナーを開催、RAG・LLM・画像処理技術の実践活用を解説

モルフォAISとFastLabelがAIエージェントウェビナーを開催、RAG・LLM・画像処理...

モルフォAIソリューションズとFastLabelは、2025年3月4日にAIエージェントの進化と可能性に関するウェビナーを共催する。RAG・LLM・画像処理技術の活用事例やAIエージェント導入のポイントを解説し、アナログメータ解析や高精度OCR、異常検知などの実践的な活用方法も紹介する。AIの性能を最大限に引き出すためのデータ生成手法についても詳しく説明される予定だ。

モルフォAISとFastLabelがAIエージェントウェビナーを開催、RAG・LLM・画像処理...

モルフォAIソリューションズとFastLabelは、2025年3月4日にAIエージェントの進化と可能性に関するウェビナーを共催する。RAG・LLM・画像処理技術の活用事例やAIエージェント導入のポイントを解説し、アナログメータ解析や高精度OCR、異常検知などの実践的な活用方法も紹介する。AIの性能を最大限に引き出すためのデータ生成手法についても詳しく説明される予定だ。

TOKYO INDIE GAMES SUMMIT 2025、吉祥寺エリアで新コンテンツ追加とholo indie応援大使による配信決定

TOKYO INDIE GAMES SUMMIT 2025、吉祥寺エリアで新コンテンツ追加とh...

2025年3月8日から9日に開催されるTOKYO INDIE GAMES SUMMIT 2025の新コンテンツが発表された。オリジナルグッズ販売、キッズエリアの拡大、スタンプラリーの実施に加え、3月5日にはholo indie応援大使の一条莉々華による出展ゲーム紹介配信も予定。武蔵野公会堂と吉祥寺東急REIホテルをメイン会場に、地域と連携した多彩なイベントを展開する。

TOKYO INDIE GAMES SUMMIT 2025、吉祥寺エリアで新コンテンツ追加とh...

2025年3月8日から9日に開催されるTOKYO INDIE GAMES SUMMIT 2025の新コンテンツが発表された。オリジナルグッズ販売、キッズエリアの拡大、スタンプラリーの実施に加え、3月5日にはholo indie応援大使の一条莉々華による出展ゲーム紹介配信も予定。武蔵野公会堂と吉祥寺東急REIホテルをメイン会場に、地域と連携した多彩なイベントを展開する。

50歳以上のITエンジニア転職者数が5年で4.3倍に増加、レガシーシステム対応スキルの需要拡大で待遇も改善

50歳以上のITエンジニア転職者数が5年で4.3倍に増加、レガシーシステム対応スキルの需要拡大...

リクルートの調査によると、50歳以上のITエンジニアの転職者数が2019年から2024年の5年間で4.3倍に増加している。2025年の崖問題を背景にレガシーシステムの維持・刷新ニーズが高まっており、COBOLなどの古い言語のスキルを持つ人材の需要が拡大。転職時に賃金が1割以上上昇した割合も20.8%まで増加し、経験豊富なエンジニアの市場価値向上が顕著になっている。

50歳以上のITエンジニア転職者数が5年で4.3倍に増加、レガシーシステム対応スキルの需要拡大...

リクルートの調査によると、50歳以上のITエンジニアの転職者数が2019年から2024年の5年間で4.3倍に増加している。2025年の崖問題を背景にレガシーシステムの維持・刷新ニーズが高まっており、COBOLなどの古い言語のスキルを持つ人材の需要が拡大。転職時に賃金が1割以上上昇した割合も20.8%まで増加し、経験豊富なエンジニアの市場価値向上が顕著になっている。

THIRDがAtCoderでプログラミングコンテストを開催、AI人材の発掘と育成に向けた取り組みを本格化

THIRDがAtCoderでプログラミングコンテストを開催、AI人材の発掘と育成に向けた取り組...

不動産・建築業界向けAI開発のTHIRDが、日本最大の競技プログラミングサイトAtCoderで「THIRD プログラミングコンテスト2025」を開催する。2025年3月28日から4月7日までの11日間、最適解を追求するヒューリスティックコンテストとして実施され、優秀な技術者の発掘と育成を目指す。THIRDのAI開発では競技プログラミング経験者が重要な役割を担っており、今回のコンテストを通じて更なる人材確保を図る。

THIRDがAtCoderでプログラミングコンテストを開催、AI人材の発掘と育成に向けた取り組...

不動産・建築業界向けAI開発のTHIRDが、日本最大の競技プログラミングサイトAtCoderで「THIRD プログラミングコンテスト2025」を開催する。2025年3月28日から4月7日までの11日間、最適解を追求するヒューリスティックコンテストとして実施され、優秀な技術者の発掘と育成を目指す。THIRDのAI開発では競技プログラミング経験者が重要な役割を担っており、今回のコンテストを通じて更なる人材確保を図る。

スリーシェイクのReckonerがfreee関連サービスとAPI連携を開始、業務効率化とデータ管理の向上に貢献

スリーシェイクのReckonerがfreee関連サービスとAPI連携を開始、業務効率化とデータ...

株式会社スリーシェイクのクラウド型データ連携ツール「Reckoner」が、freee会計・freee人事労務・freee請求書・freee工数管理とのAPI連携を開始した。ノーコードでの操作が可能で、給与計算や請求書関連業務、従業員情報の更新など、様々な業務の自動化を実現。100種以上のSaaSと連携可能で、データの集約・加工・連携を簡単に実行できる。

スリーシェイクのReckonerがfreee関連サービスとAPI連携を開始、業務効率化とデータ...

株式会社スリーシェイクのクラウド型データ連携ツール「Reckoner」が、freee会計・freee人事労務・freee請求書・freee工数管理とのAPI連携を開始した。ノーコードでの操作が可能で、給与計算や請求書関連業務、従業員情報の更新など、様々な業務の自動化を実現。100種以上のSaaSと連携可能で、データの集約・加工・連携を簡単に実行できる。

シムトップスがi-ReporterとMicrosoft SQL Serverのノーコード連携機能を発表、システム間連携の実装が容易に

シムトップスがi-ReporterとMicrosoft SQL Serverのノーコード連携機...

株式会社シムトップスは2025年2月28日、現場帳票ペーパーレス化ソリューション「i-Reporter」とMicrosoft SQL Serverのノーコード連携機能をリリースした。自動帳票作成やデータ登録など4つの主要機能を実装し、製造指示情報や出荷指示情報などの連携が容易になった。PostgreSQL、Oracleデータベースに続く外部システム連携の拡充により、現場のデジタル化がさらに加速する。

シムトップスがi-ReporterとMicrosoft SQL Serverのノーコード連携機...

株式会社シムトップスは2025年2月28日、現場帳票ペーパーレス化ソリューション「i-Reporter」とMicrosoft SQL Serverのノーコード連携機能をリリースした。自動帳票作成やデータ登録など4つの主要機能を実装し、製造指示情報や出荷指示情報などの連携が容易になった。PostgreSQL、Oracleデータベースに続く外部システム連携の拡充により、現場のデジタル化がさらに加速する。

DiarkisがUnreal Engine作品制作コンテストUE5ぷちコンに協賛、オンラインゲーム開発の技術向上を支援

DiarkisがUnreal Engine作品制作コンテストUE5ぷちコンに協賛、オンラインゲ...

株式会社Diarkisが第23回UE5ぷちコンに協賛企業として参加を表明。2025年2月14日から4月6日まで開催される本コンテストは「せん」をテーマに作品を募集する。番外編含む全28回で4500作品以上の応募実績を持つUE5ぷちコンは、短期間での作品制作を通じてUnreal Engine学習の機会を提供。プロ・アマ問わず参加可能で、チーム参加も歓迎している。

DiarkisがUnreal Engine作品制作コンテストUE5ぷちコンに協賛、オンラインゲ...

株式会社Diarkisが第23回UE5ぷちコンに協賛企業として参加を表明。2025年2月14日から4月6日まで開催される本コンテストは「せん」をテーマに作品を募集する。番外編含む全28回で4500作品以上の応募実績を持つUE5ぷちコンは、短期間での作品制作を通じてUnreal Engine学習の機会を提供。プロ・アマ問わず参加可能で、チーム参加も歓迎している。

LAPRASがAIレビュー機能をアップグレード、技術記事の評価精度が大幅に向上し利便性が拡大

LAPRASがAIレビュー機能をアップグレード、技術記事の評価精度が大幅に向上し利便性が拡大

LAPRAS株式会社が転職サービス「LAPRAS」の技術記事評価機能「AIレビュー」をアップグレードした。AIモデルとプロンプトの改良により採点とコメントの精度が向上し、人間評価との相関係数0.72を達成。評価結果の一覧表示機能も追加され、QiitaやZennの技術記事を5つの観点で評価し、エンジニアの成長を支援する。LAPRASスコアへの反映も検討中だ。

LAPRASがAIレビュー機能をアップグレード、技術記事の評価精度が大幅に向上し利便性が拡大

LAPRAS株式会社が転職サービス「LAPRAS」の技術記事評価機能「AIレビュー」をアップグレードした。AIモデルとプロンプトの改良により採点とコメントの精度が向上し、人間評価との相関係数0.72を達成。評価結果の一覧表示機能も追加され、QiitaやZennの技術記事を5つの観点で評価し、エンジニアの成長を支援する。LAPRASスコアへの反映も検討中だ。

Dev Proxy v0.25が自動シャットダウン機能とJSONスキーマサポートを実装し開発者の生産性向上を実現

Dev Proxy v0.25が自動シャットダウン機能とJSONスキーマサポートを実装し開発者...

Dev Proxyが2024年2月27日にv0.25をリリースし、非アクティブ時の自動シャットダウン機能や設定ファイル管理の改善、プラグインオプションの可視性向上などを実現した。JSONスキーマサポートの導入によりIntelliSenseとリアルタイムフィードバックが強化され、GraphMinimalPermissionsPluginの問題も修正。さらに.NET Foundationへの参画も発表され、オープンソースコミュニティとの連携も強化される。

Dev Proxy v0.25が自動シャットダウン機能とJSONスキーマサポートを実装し開発者...

Dev Proxyが2024年2月27日にv0.25をリリースし、非アクティブ時の自動シャットダウン機能や設定ファイル管理の改善、プラグインオプションの可視性向上などを実現した。JSONスキーマサポートの導入によりIntelliSenseとリアルタイムフィードバックが強化され、GraphMinimalPermissionsPluginの問題も修正。さらに.NET Foundationへの参画も発表され、オープンソースコミュニティとの連携も強化される。

MicrosoftがPowerShell 7のMicrosoft Update機能を拡充、3月からバージョン7.2から7.4への自動更新を開始

MicrosoftがPowerShell 7のMicrosoft Update機能を拡充、3月...

MicrosoftはPowerShell 7のMicrosoft Update機能について最新の動作と更新ルールを発表した。PowerShell 7.2から導入された自動更新機能により、企業環境での更新管理が効率化される。特に2025年3月14日からはPowerShell 7.2のユーザーに対してバージョン7.4への更新が開始される予定だ。LTSバージョン間の更新ルールも明確化され、より安定した運用が可能になる。

MicrosoftがPowerShell 7のMicrosoft Update機能を拡充、3月...

MicrosoftはPowerShell 7のMicrosoft Update機能について最新の動作と更新ルールを発表した。PowerShell 7.2から導入された自動更新機能により、企業環境での更新管理が効率化される。特に2025年3月14日からはPowerShell 7.2のユーザーに対してバージョン7.4への更新が開始される予定だ。LTSバージョン間の更新ルールも明確化され、より安定した運用が可能になる。

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subscriber権限で任意のオプション値削除が可能に

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subs...

WordPressテーマ「ZoxPress」において、認証済みユーザーが任意のオプション値を削除できる深刻な脆弱性が発見された。この脆弱性はCVE-2024-13654として識別され、CVSSスコア8.1と高いリスクレベルに分類されている。2.12.0以前のバージョンが影響を受け、Subscriber権限以上のユーザーがサービス拒否攻撃を引き起こす可能性がある。

【CVE-2024-13654】WordPressテーマZoxPressに認可の欠陥、Subs...

WordPressテーマ「ZoxPress」において、認証済みユーザーが任意のオプション値を削除できる深刻な脆弱性が発見された。この脆弱性はCVE-2024-13654として識別され、CVSSスコア8.1と高いリスクレベルに分類されている。2.12.0以前のバージョンが影響を受け、Subscriber権限以上のユーザーがサービス拒否攻撃を引き起こす可能性がある。

【CVE-2024-13435】WordPressプラグインEbook Downloaderにバージョン1.0までの致命的な脆弱性が発見

【CVE-2024-13435】WordPressプラグインEbook Downloaderに...

Wordfenceは2025年2月12日、WordPressプラグインEbook Downloaderにおいて、認証不要で悪用可能なSQLインジェクションの脆弱性を発見した。CVSSスコア7.5の高リスク脆弱性で、バージョン1.0までのすべてのバージョンが影響を受ける。不適切なエスケープ処理により、攻撃者がデータベースから機密情報を抽出可能な状態となっている。

【CVE-2024-13435】WordPressプラグインEbook Downloaderに...

Wordfenceは2025年2月12日、WordPressプラグインEbook Downloaderにおいて、認証不要で悪用可能なSQLインジェクションの脆弱性を発見した。CVSSスコア7.5の高リスク脆弱性で、バージョン1.0までのすべてのバージョンが影響を受ける。不適切なエスケープ処理により、攻撃者がデータベースから機密情報を抽出可能な状態となっている。

【CVE-2024-13541】WordPressプラグインaDirectoryに認証回避の脆弱性、任意の投稿削除が可能に

【CVE-2024-13541】WordPressプラグインaDirectoryに認証回避の脆...

WordPressのディレクトリリスティングプラグイン「aDirectory」のバージョン2.3以前に、認証回避による任意の投稿削除が可能な脆弱性が発見された。Subscriber以上の権限を持つユーザーが投稿を削除できる問題で、CVSSスコアは4.3(MEDIUM)と評価。Frontend/Ajax.php内のadqs_delete_listing()関数における権限チェックの欠如が原因とされている。

【CVE-2024-13541】WordPressプラグインaDirectoryに認証回避の脆...

WordPressのディレクトリリスティングプラグイン「aDirectory」のバージョン2.3以前に、認証回避による任意の投稿削除が可能な脆弱性が発見された。Subscriber以上の権限を持つユーザーが投稿を削除できる問題で、CVSSスコアは4.3(MEDIUM)と評価。Frontend/Ajax.php内のadqs_delete_listing()関数における権限チェックの欠如が原因とされている。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...

WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なしでPHPオブジェクトインジェクションが可能に

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...

ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...

ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。

【CVE-2024-13852】WordPressプラグインOption Editor 1.0にCSRF脆弱性、管理者権限奪取の危険性

【CVE-2024-13852】WordPressプラグインOption Editor 1.0...

WordPressプラグインOption Editor 1.0にCross-Site Request Forgeryの脆弱性が発見され、CVE-2024-13852として報告された。plugin_page()関数でのnonce検証欠如により、攻撃者が管理者を騙してリンクをクリックさせることで任意のオプション設定を更新可能。CVSSスコア8.8(HIGH)と評価され、管理者権限の不正取得につながる可能性のある深刻な脆弱性となっている。

【CVE-2024-13852】WordPressプラグインOption Editor 1.0...

WordPressプラグインOption Editor 1.0にCross-Site Request Forgeryの脆弱性が発見され、CVE-2024-13852として報告された。plugin_page()関数でのnonce検証欠如により、攻撃者が管理者を騙してリンクをクリックさせることで任意のオプション設定を更新可能。CVSSスコア8.8(HIGH)と評価され、管理者権限の不正取得につながる可能性のある深刻な脆弱性となっている。

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...

WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...

WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。

【CVE-2024-13438】SpeedSize Image & Video AI-Optimizerにクロスサイトリクエストフォージェリの脆弱性、管理者権限でキャッシュクリアが可能に

【CVE-2024-13438】SpeedSize Image & Video AI-Opti...

WordFenceは2025年2月18日、WordPress用プラグイン「SpeedSize Image & Video AI-Optimizer」のバージョン1.5.1以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。この脆弱性はCVE-2024-13438として識別され、攻撃者が管理者をだまして特定のアクションを実行させることで、プラグインのキャッシュをクリアすることが可能になる。CVSSスコアは4.3(深刻度:中)と評価されている。

【CVE-2024-13438】SpeedSize Image & Video AI-Opti...

WordFenceは2025年2月18日、WordPress用プラグイン「SpeedSize Image & Video AI-Optimizer」のバージョン1.5.1以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。この脆弱性はCVE-2024-13438として識別され、攻撃者が管理者をだまして特定のアクションを実行させることで、プラグインのキャッシュをクリアすることが可能になる。CVSSスコアは4.3(深刻度:中)と評価されている。

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...

WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。

【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...

WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。

【CVE-2025-0805】WordPress用プラグインMortgage Calculator 1.5.20にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-0805】WordPress用プラグインMortgage Calculat...

WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。

【CVE-2025-0805】WordPress用プラグインMortgage Calculat...

WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認証済みユーザーによるXSS攻撃のリスクが発覚

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...

WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。

【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...

WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。