Tech Insights
SHIFT AIのAI大学が会員1万2000人突破、AIスキル格差による収入差は47%に
SHIFT AIは戦略顧問の星渉氏が2025年度も続投することを発表。同社運営のAI大学は会員数1万2000人を突破し、Indeed社の調査で生成AIスキル保有者は47%高い給与を獲得していることが判明。一方で58%が雇用喪失への不安を抱えており、AIスキル格差が収入に直結する時代の到来を示唆している。
SHIFT AIのAI大学が会員1万2000人突破、AIスキル格差による収入差は47%に
SHIFT AIは戦略顧問の星渉氏が2025年度も続投することを発表。同社運営のAI大学は会員数1万2000人を突破し、Indeed社の調査で生成AIスキル保有者は47%高い給与を獲得していることが判明。一方で58%が雇用喪失への不安を抱えており、AIスキル格差が収入に直結する時代の到来を示唆している。
テンダとクラスメソッドが東北仙台でIT勉強会TohokuTech第5回を開催、サーバレス技術の...
株式会社テンダ東北支店とクラスメソッド株式会社仙台オフィスが共同運営するIT勉強会「TohokuTech」第5回が、2025年3月13日にWeWork JR仙台イーストゲートビルで開催される。今回はサーバレスアーキテクチャをテーマに、EC-CUBEのサーバレス化やマイクロサービス運用に関する事例共有が行われる予定だ。40名限定の一般参加枠が用意され、技術交流を促進する場として期待が高まっている。
テンダとクラスメソッドが東北仙台でIT勉強会TohokuTech第5回を開催、サーバレス技術の...
株式会社テンダ東北支店とクラスメソッド株式会社仙台オフィスが共同運営するIT勉強会「TohokuTech」第5回が、2025年3月13日にWeWork JR仙台イーストゲートビルで開催される。今回はサーバレスアーキテクチャをテーマに、EC-CUBEのサーバレス化やマイクロサービス運用に関する事例共有が行われる予定だ。40名限定の一般参加枠が用意され、技術交流を促進する場として期待が高まっている。
シーイーシーがクラウド統合基盤BizAxisを開発、国内データ管理と開発者支援で生産性向上を実現
株式会社シーイーシーが2025年3月3日より提供開始する国産クラウド統合基盤BizAxisは、日本の法律に基づいたデータ管理を可能にし、個人情報保護法への対応やデータ漏えいリスクを軽減する。開発ポータルやAPI開発実行基盤、コンテナ開発実行基盤、各種自動化機能を標準装備し、開発者の認知負荷を軽減することで生産性向上を支援する。
シーイーシーがクラウド統合基盤BizAxisを開発、国内データ管理と開発者支援で生産性向上を実現
株式会社シーイーシーが2025年3月3日より提供開始する国産クラウド統合基盤BizAxisは、日本の法律に基づいたデータ管理を可能にし、個人情報保護法への対応やデータ漏えいリスクを軽減する。開発ポータルやAPI開発実行基盤、コンテナ開発実行基盤、各種自動化機能を標準装備し、開発者の認知負荷を軽減することで生産性向上を支援する。
コグニティブリサーチラボがpicoCTF2025で日本向け表彰部門を開設、次世代サイバーセキュ...
コグニティブリサーチラボ株式会社は、カーネギーメロン大学主催の中高生向けハッキングコンテストpicoCTF2025において、日本向けのチーム賞CognitiveHack Japan 2025を開設する。コンテストは2025年3月8日から18日にかけて開催され、総合優勝や各部門優勝に5万円の賞金を設定。サイバーセキュリティ分野での人材育成を目指し、プログラミング経験者から初心者まで幅広い層の参加を募る。
コグニティブリサーチラボがpicoCTF2025で日本向け表彰部門を開設、次世代サイバーセキュ...
コグニティブリサーチラボ株式会社は、カーネギーメロン大学主催の中高生向けハッキングコンテストpicoCTF2025において、日本向けのチーム賞CognitiveHack Japan 2025を開設する。コンテストは2025年3月8日から18日にかけて開催され、総合優勝や各部門優勝に5万円の賞金を設定。サイバーセキュリティ分野での人材育成を目指し、プログラミング経験者から初心者まで幅広い層の参加を募る。
InnovativeAIがレジュメノーにAI面接対策機能を追加、エンジニア採用の効率化を実現へ
株式会社InnovativeAIは、AI面接型スカウトサービス『レジュメノー』に独自開発のAI基盤モデルとバーチャルAI面接官を活用した「エンジニア面接対策機能」を追加した。データ構造やアルゴリズム、ソフトウェア設計まで20パターン以上の質問シナリオを用意し、技術面接対策を強力にサポート。15分間のAI面接動画で求職者の専門性やカルチャーフィットを評価できる。
InnovativeAIがレジュメノーにAI面接対策機能を追加、エンジニア採用の効率化を実現へ
株式会社InnovativeAIは、AI面接型スカウトサービス『レジュメノー』に独自開発のAI基盤モデルとバーチャルAI面接官を活用した「エンジニア面接対策機能」を追加した。データ構造やアルゴリズム、ソフトウェア設計まで20パターン以上の質問シナリオを用意し、技術面接対策を強力にサポート。15分間のAI面接動画で求職者の専門性やカルチャーフィットを評価できる。
アイデミーがAidemy Businessで新規4コースを公開、AI倫理やDify活用術で企業...
株式会社アイデミーは法人向けオンラインDXラーニング「Aidemy Business」において、AI倫理やDify活用術など全4コースを2025年2月25日に新規公開した。AI開発者、サービス提供者、利用者それぞれの立場からAIの倫理的責任を学べるコンテンツや、プログラミング不要のAIアプリケーション開発ツールDifyの活用法など、デジタル変革時代に必要なスキルを網羅的に学習できる環境を提供している。
アイデミーがAidemy Businessで新規4コースを公開、AI倫理やDify活用術で企業...
株式会社アイデミーは法人向けオンラインDXラーニング「Aidemy Business」において、AI倫理やDify活用術など全4コースを2025年2月25日に新規公開した。AI開発者、サービス提供者、利用者それぞれの立場からAIの倫理的責任を学べるコンテンツや、プログラミング不要のAIアプリケーション開発ツールDifyの活用法など、デジタル変革時代に必要なスキルを網羅的に学習できる環境を提供している。
博報堂テクノロジーズが機械学習の新手法「HyPeR」をICLR 2025で発表、部分観測報酬の...
博報堂テクノロジーズは、機械学習分野の国際会議ICLR 2025において、部分観測報酬に対するオフライン方策学習の新手法「HyPeR」を提案する論文が採択された。早稲田大学とコーネル大学との共同研究により開発されたHyPeRは、広告配信やレコメンドシステム、医療分野など、多岐にわたる実用的な応用が期待される画期的な技術革新である。
博報堂テクノロジーズが機械学習の新手法「HyPeR」をICLR 2025で発表、部分観測報酬の...
博報堂テクノロジーズは、機械学習分野の国際会議ICLR 2025において、部分観測報酬に対するオフライン方策学習の新手法「HyPeR」を提案する論文が採択された。早稲田大学とコーネル大学との共同研究により開発されたHyPeRは、広告配信やレコメンドシステム、医療分野など、多岐にわたる実用的な応用が期待される画期的な技術革新である。
チューリンガムがKADOKAWAドワンゴ情報工科学院でWeb3人材育成講座を開催、実践的なブロ...
チューリンガム株式会社が、KADOKAWAドワンゴ情報工科学院にてブロックチェーン・スマートコントラクト開発入門講座の開催を発表した。Web3市場の急成長に伴う人材不足に対応し、実践的な開発スキルの習得を支援する。前半の基礎編と後半の応用編で構成され、オンラインで実施される本講座は、次世代のWeb3人材育成を目指している。
チューリンガムがKADOKAWAドワンゴ情報工科学院でWeb3人材育成講座を開催、実践的なブロ...
チューリンガム株式会社が、KADOKAWAドワンゴ情報工科学院にてブロックチェーン・スマートコントラクト開発入門講座の開催を発表した。Web3市場の急成長に伴う人材不足に対応し、実践的な開発スキルの習得を支援する。前半の基礎編と後半の応用編で構成され、オンラインで実施される本講座は、次世代のWeb3人材育成を目指している。
エクシードがFortnite向け3DCGゲーム制作教材をリリース、Verseプログラミング学習...
株式会社エクシードが10代向けデジタル人材育成サービス『TechHigher』の新教材としてFortnite(UEFN)のゲーム制作教材を提供開始。小学5年生以上を対象に、プログラミング言語「Verse」の基礎を学びながら陣取りゲームを制作できる。3万円の初期費用と月額3000円台で導入可能で、2025年3月末までの申し込みで初期費用無料キャンペーンを実施。他社からの乗り換え時には1年後にシステム利用料のキャッシュバックも実施される。
エクシードがFortnite向け3DCGゲーム制作教材をリリース、Verseプログラミング学習...
株式会社エクシードが10代向けデジタル人材育成サービス『TechHigher』の新教材としてFortnite(UEFN)のゲーム制作教材を提供開始。小学5年生以上を対象に、プログラミング言語「Verse」の基礎を学びながら陣取りゲームを制作できる。3万円の初期費用と月額3000円台で導入可能で、2025年3月末までの申し込みで初期費用無料キャンペーンを実施。他社からの乗り換え時には1年後にシステム利用料のキャッシュバックも実施される。
NINJA CODEがマーケティング講座を新規追加、プログラミングと共にWebマーケティングス...
ラグザス株式会社の子会社ラグザス・クリエイトが運営するオンラインプログラミング学習サービス「NINJA CODE」が、マーケティング講座の動画を新規追加。2025年2月26日から6月30日までの期間限定で、SEO対策やSNS運用、Web広告などの実践的な内容を学ぶことができる。副業・案件獲得保証プランとフリーランス特化型プランの受講生が対象となっている。
NINJA CODEがマーケティング講座を新規追加、プログラミングと共にWebマーケティングス...
ラグザス株式会社の子会社ラグザス・クリエイトが運営するオンラインプログラミング学習サービス「NINJA CODE」が、マーケティング講座の動画を新規追加。2025年2月26日から6月30日までの期間限定で、SEO対策やSNS運用、Web広告などの実践的な内容を学ぶことができる。副業・案件獲得保証プランとフリーランス特化型プランの受講生が対象となっている。
【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...
WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。
【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...
WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。
【CVE-2024-1374】Real Estate Property Management ...
code-projects社のReal Estate Property Management System 1.0において、検索機能に重大な脆弱性が発見された。search.phpファイルのパラメータにSQL injectionの脆弱性が存在し、リモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対策が必要とされている。
【CVE-2024-1374】Real Estate Property Management ...
code-projects社のReal Estate Property Management System 1.0において、検索機能に重大な脆弱性が発見された。search.phpファイルのパラメータにSQL injectionの脆弱性が存在し、リモートからの攻撃が可能な状態となっている。CVSSスコアは中程度だが、既に攻撃コードが公開されており、早急な対策が必要とされている。
【CVE-2025-1208】code-projects Wazifa System 1.0に...
code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。
【CVE-2025-1208】code-projects Wazifa System 1.0に...
code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。
【CVE-2025-1197】code-projects Real Estate Proper...
code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。
【CVE-2025-1197】code-projects Real Estate Proper...
code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。
【CVE-2025-1183】CodeZips Gym Management System 1...
CodeZips社のGym Management System 1.0において、/dashboard/admin/more-userprofile.phpファイルのlogin_id引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最大6.3(ミディアム)で、リモートからの攻撃が可能な状態。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者はセキュリティパッチの適用やWAFによる防御措置の実施を検討すべき状況だ。
【CVE-2025-1183】CodeZips Gym Management System 1...
CodeZips社のGym Management System 1.0において、/dashboard/admin/more-userprofile.phpファイルのlogin_id引数にSQLインジェクションの脆弱性が発見された。CVSSスコアは最大6.3(ミディアム)で、リモートからの攻撃が可能な状態。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者はセキュリティパッチの適用やWAFによる防御措置の実施を検討すべき状況だ。
【CVE-2025-1135】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...
ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、BatchWinnerEntry機能のCurrentFundraiserパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア9.3のCritical評価で、管理者権限を持つ攻撃者によるデータベースの抽出・改変・削除が可能となる。時間ベースおよびブーリアンベースのブラインドSQLインジェクションとして確認されており、早急な対応が必要とされている。
【CVE-2025-1135】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...
ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、BatchWinnerEntry機能のCurrentFundraiserパラメータにSQLインジェクションの脆弱性が発見された。CVSSスコア9.3のCritical評価で、管理者権限を持つ攻撃者によるデータベースの抽出・改変・削除が可能となる。時間ベースおよびブーリアンベースのブラインドSQLインジェクションとして確認されており、早急な対応が必要とされている。
【CVE-2025-1023】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...
Gridware Cybersecurityは2025年2月18日、ChurchCRMのEditEventTypes機能においてSQLインジェクションの脆弱性を発見した。ChurchCRM 5.13.0以前のバージョンに存在するこの脆弱性は、newCountNameパラメータが適切なサニタイズ処理なしでSQLクエリに結合される問題に起因する。CVSSスコア9.3のCritical評価であり、データ漏洩や改ざんのリスクが指摘されている。
【CVE-2025-1023】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...
Gridware Cybersecurityは2025年2月18日、ChurchCRMのEditEventTypes機能においてSQLインジェクションの脆弱性を発見した。ChurchCRM 5.13.0以前のバージョンに存在するこの脆弱性は、newCountNameパラメータが適切なサニタイズ処理なしでSQLクエリに結合される問題に起因する。CVSSスコア9.3のCritical評価であり、データ漏洩や改ざんのリスクが指摘されている。
【CVE-2025-1005】ElementsKit Elementor 3.4.0以前のバー...
WordPressプラグイン「ElementsKit Elementor」のバージョン3.4.0以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。Wordfenceの研究者により2025年2月15日に公開されたこの脆弱性は、Image Accordionウィジェットにおける入力値の検証とエスケープ処理の不備に起因する。CVSSスコア6.4を記録し、早急な対策が求められている。
【CVE-2025-1005】ElementsKit Elementor 3.4.0以前のバー...
WordPressプラグイン「ElementsKit Elementor」のバージョン3.4.0以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。Wordfenceの研究者により2025年2月15日に公開されたこの脆弱性は、Image Accordionウィジェットにおける入力値の検証とエスケープ処理の不備に起因する。CVSSスコア6.4を記録し、早急な対策が求められている。
【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セ...
ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、グループエディタページの説明フィールドにストアドXSS脆弱性が発見された。管理者権限を持つ攻撃者が悪意のあるJavaScriptを挿入することで、認証済みユーザーのセッション情報を外部に送信可能。CVSSスコア8.4のHigh評価を受けており、情報漏洩やセッションハイジャックのリスクが指摘されている。
【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セ...
ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、グループエディタページの説明フィールドにストアドXSS脆弱性が発見された。管理者権限を持つ攻撃者が悪意のあるJavaScriptを挿入することで、認証済みユーザーのセッション情報を外部に送信可能。CVSSスコア8.4のHigh評価を受けており、情報漏洩やセッションハイジャックのリスクが指摘されている。
【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...
WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。
【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...
WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。
【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...
WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。
【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...
WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。
【CVE-2025-0874】Simple Plugins Car Rental Manage...
code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。
【CVE-2025-0874】Simple Plugins Car Rental Manage...
code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。
【CVE-2025-0864】Active Products Tables for WooCo...
WordPressプラグインActive Products Tables for WooCommerceのバージョン1.0.6.6以前に、Reflected Cross-Site Scriptingの脆弱性が発見された。CVSSスコア6.1のこの脆弱性は、認証なしで攻撃可能で、不正なスクリプト実行のリスクがある。Wordfenceが2025年2月18日に報告し、早急な対応が求められている。
【CVE-2025-0864】Active Products Tables for WooCo...
WordPressプラグインActive Products Tables for WooCommerceのバージョン1.0.6.6以前に、Reflected Cross-Site Scriptingの脆弱性が発見された。CVSSスコア6.1のこの脆弱性は、認証なしで攻撃可能で、不正なスクリプト実行のリスクがある。Wordfenceが2025年2月18日に報告し、早急な対応が求められている。
【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...
WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。
【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...
WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。
【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...
WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。
【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...
WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。
【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...
WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。
【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...
WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。
【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...
WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。
【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...
WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。
【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...
WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。
【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...
WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。
【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...
WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。
【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...
WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。
【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...
WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。
【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...
WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。