Tech Insights

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証...

WordPressプラグインのEvent Tickets and Registrationにおいて、バージョン5.18.1以前の全バージョンで重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がチケット価格やユーザーのメールアドレス、注文日時などの機密情報を閲覧可能な状態となっている。CVSSスコアは5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証...

WordPressプラグインのEvent Tickets and Registrationにおいて、バージョン5.18.1以前の全バージョンで重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がチケット価格やユーザーのメールアドレス、注文日時などの機密情報を閲覧可能な状態となっている。CVSSスコアは5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-13458】WordPress SEO Friendly Accordion FAQプラグインに認証済XSS脆弱性、Contributor権限で任意コード実行の危険性

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆弱性が発見、WordPress投稿者権限で悪用の可能性

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆...

WordPressプラグイン「WE - Testimonial Slider」のバージョン1.5以前に格納型XSS脆弱性が発見された。CVE-2024-13460として識別されるこの脆弱性は、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、testimonial authorの名前フィールドを介した攻撃が可能となっている。

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆...

WordPressプラグイン「WE - Testimonial Slider」のバージョン1.5以前に格納型XSS脆弱性が発見された。CVE-2024-13460として識別されるこの脆弱性は、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、testimonial authorの名前フィールドを介した攻撃が可能となっている。

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWordPressテーマにLFI脆弱性、未認証での攻撃が可能に

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWord...

WordPressテーマのBootstrap Ultimate 1.4.9以前のバージョンに、未認証のLocal File Inclusion脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃者はパスパラメータを悪用してサーバー上のPHPファイルを不正に実行できる可能性がある。特にphp://filterが有効な環境では、リモートコード実行のリスクも存在する。

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWord...

WordPressテーマのBootstrap Ultimate 1.4.9以前のバージョンに、未認証のLocal File Inclusion脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃者はパスパラメータを悪用してサーバー上のPHPファイルを不正に実行できる可能性がある。特にphp://filterが有効な環境では、リモートコード実行のリスクも存在する。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性、認証済みユーザーからの攻撃に警戒

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆弱性を発見、貢献者以上の権限で悪用の可能性

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済みXSS脆弱性、バージョン1.4.7以前が影響を受ける

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2024-13646】WordPressプラグインSingle-user-chat 0.5に深刻な脆弱性、サービス拒否のリスクが発生

【CVE-2024-13646】WordPressプラグインSingle-user-chat ...

WordPressプラグインSingle-user-chat 0.5以前のバージョンにおいて、認証済みユーザーによるデータ改変の脆弱性が発見された。CVE-2024-13646として識別されるこの脆弱性は、CVSS 3.1で深刻度8.1(High)と評価され、サービス拒否や設定の不正変更などのリスクがある。Subscriber以上の権限を持つユーザーが影響を受け、early急なアップデートが推奨される。

【CVE-2024-13646】WordPressプラグインSingle-user-chat ...

WordPressプラグインSingle-user-chat 0.5以前のバージョンにおいて、認証済みユーザーによるデータ改変の脆弱性が発見された。CVE-2024-13646として識別されるこの脆弱性は、CVSS 3.1で深刻度8.1(High)と評価され、サービス拒否や設定の不正変更などのリスクがある。Subscriber以上の権限を持つユーザーが影響を受け、early急なアップデートが推奨される。

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに深刻な脆弱性、未認証の攻撃者による任意のファイル読み取りが可能に

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前のすべてのバージョンに任意のファイル読み取りの脆弱性が発見された。CVE-2024-13671として識別されるこの脆弱性は、未認証の攻撃者によってサーバー上の機密情報が読み取られる可能性があり、CVSSスコアは7.5(HIGH)と評価されている。パストラバーサル(CWE-22)に分類されるこの問題は、早急な対応が必要とされている。

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前のすべてのバージョンに任意のファイル読み取りの脆弱性が発見された。CVE-2024-13671として識別されるこの脆弱性は、未認証の攻撃者によってサーバー上の機密情報が読み取られる可能性があり、CVSSスコアは7.5(HIGH)と評価されている。パストラバーサル(CWE-22)に分類されるこの問題は、早急な対応が必要とされている。

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェクションの脆弱性、WordPressサイトのデータベースがリスクに

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェク...

WordPressプラグインのForm Builder CPにおいて、バージョン1.2.41以下に深刻なSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-13680】として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。Contributor以上の権限を持つ認証済みユーザーがデータベースから機密情報を抽出できる可能性があり、早急なアップデートが推奨される。

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェク...

WordPressプラグインのForm Builder CPにおいて、バージョン1.2.41以下に深刻なSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-13680】として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。Contributor以上の権限を持つ認証済みユーザーがデータベースから機密情報を抽出できる可能性があり、早急なアップデートが推奨される。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL injection脆弱性、管理者パネルへの攻撃が可能に

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL injection脆弱性、管理者パネルへの攻撃が可能に

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻なXSS脆弱性、早急な対策が必要に

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2025-1011】FirefoxのWebAssembly脆弱性が発覚、コード実行の危険性で緊急アップデートの適用を推奨

【CVE-2025-1011】FirefoxのWebAssembly脆弱性が発覚、コード実行の...

Mozilla Corporationは2025年2月4日、WebAssemblyコード生成に関する重大な脆弱性【CVE-2025-1011】を公開した。Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満が影響を受け、攻撃者によるクラッシュやコード実行の危険性が指摘されている。CVSSスコア9.8の最高レベルの危険度であり、早急なアップデートが推奨される。

【CVE-2025-1011】FirefoxのWebAssembly脆弱性が発覚、コード実行の...

Mozilla Corporationは2025年2月4日、WebAssemblyコード生成に関する重大な脆弱性【CVE-2025-1011】を公開した。Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満が影響を受け、攻撃者によるクラッシュやコード実行の危険性が指摘されている。CVSSスコア9.8の最高レベルの危険度であり、早急なアップデートが推奨される。

ジェネロ株式会社がDrupal 7移行支援ウェビナーを開催、サポート終了に向けた対策を解説

ジェネロ株式会社がDrupal 7移行支援ウェビナーを開催、サポート終了に向けた対策を解説

ジェネロ株式会社は2025年2月26日にDrupal 7のサポート終了に伴う移行支援ウェビナーを開催する。本ウェビナーでは、Drupal 7からの移行に関する具体的な解決策やベストプラクティスを提供し、サポート終了の背景や影響について解説する。慶應義塾大学大学院出身で現ジェネロ株式会社シニアエンジニアの直江健介氏が講師を務め、参加者からの質問にも丁寧に回答する予定だ。

ジェネロ株式会社がDrupal 7移行支援ウェビナーを開催、サポート終了に向けた対策を解説

ジェネロ株式会社は2025年2月26日にDrupal 7のサポート終了に伴う移行支援ウェビナーを開催する。本ウェビナーでは、Drupal 7からの移行に関する具体的な解決策やベストプラクティスを提供し、サポート終了の背景や影響について解説する。慶應義塾大学大学院出身で現ジェネロ株式会社シニアエンジニアの直江健介氏が講師を務め、参加者からの質問にも丁寧に回答する予定だ。

トヨタ自動車がUnityを次世代HMIに採用、車載インターフェース開発の効率化と若手エンジニアの参画促進へ

トヨタ自動車がUnityを次世代HMIに採用、車載インターフェース開発の効率化と若手エンジニア...

トヨタ自動車はUnityのリアルタイム3Dエンジン技術を車載HMI開発に採用することを2025年2月7日に発表した。数百名規模のソフトウェアエンジニアによるデジタルコクピットの内製開発において、若手エンジニアの参画を促進し開発効率を向上させる。リアルタイムライティングやエフェクトを活用した新しいUX創出が可能になり、より魅力的な車内体験の実現を目指す。

トヨタ自動車がUnityを次世代HMIに採用、車載インターフェース開発の効率化と若手エンジニア...

トヨタ自動車はUnityのリアルタイム3Dエンジン技術を車載HMI開発に採用することを2025年2月7日に発表した。数百名規模のソフトウェアエンジニアによるデジタルコクピットの内製開発において、若手エンジニアの参画を促進し開発効率を向上させる。リアルタイムライティングやエフェクトを活用した新しいUX創出が可能になり、より魅力的な車内体験の実現を目指す。

Microsoft Go 1.24がFIPS 140-3対応とmacOSサポートを追加、暗号化機能が大幅に強化

Microsoft Go 1.24がFIPS 140-3対応とmacOSサポートを追加、暗号化...

MicrosoftはFIPS 140-3準拠を目指し、Microsoft Go 1.24をリリースした。新バージョンではLinuxでOpenSSL、WindowsでCNGを活用する独自アプローチを継続しながら、新たにmacOSプラットフォームのプレビューサポートを追加。Azure Linux 3でのSCOSSLプロバイダー対応も強化され、政府機関や規制産業向けの開発環境が充実。

Microsoft Go 1.24がFIPS 140-3対応とmacOSサポートを追加、暗号化...

MicrosoftはFIPS 140-3準拠を目指し、Microsoft Go 1.24をリリースした。新バージョンではLinuxでOpenSSL、WindowsでCNGを活用する独自アプローチを継続しながら、新たにmacOSプラットフォームのプレビューサポートを追加。Azure Linux 3でのSCOSSLプロバイダー対応も強化され、政府機関や規制産業向けの開発環境が充実。

Visual Studio CodeのPython拡張機能がアップデート、設定不要のデバッグ機能とAIシンボル生成機能を実装

Visual Studio CodeのPython拡張機能がアップデート、設定不要のデバッグ機...

MicrosoftはVisual Studio CodeのPython拡張機能の2025年2月アップデートを発表した。設定不要のデバッグ機能やテスト探索のキャンセル機能、ターミナルからのネイティブREPL起動機能が追加され、Pylanceには実装への直接移動機能が実装された。さらに、実験的機能としてCopilotと連携したAIシンボル生成機能も導入されている。

Visual Studio CodeのPython拡張機能がアップデート、設定不要のデバッグ機...

MicrosoftはVisual Studio CodeのPython拡張機能の2025年2月アップデートを発表した。設定不要のデバッグ機能やテスト探索のキャンセル機能、ターミナルからのネイティブREPL起動機能が追加され、Pylanceには実装への直接移動機能が実装された。さらに、実験的機能としてCopilotと連携したAIシンボル生成機能も導入されている。

【CVE-2024-13354】Responsive Addons for Elementorに深刻な脆弱性、WordPressサイトのセキュリティに警鐘

【CVE-2024-13354】Responsive Addons for Elementor...

WordPressプラグイン「Responsive Addons for Elementor」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.4以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、攻撃の複雑さは低いとされている。プラグインの開発元であるcyberchimpsは対策を進めており、早急なアップデートが推奨される。

【CVE-2024-13354】Responsive Addons for Elementor...

WordPressプラグイン「Responsive Addons for Elementor」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.4以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、攻撃の複雑さは低いとされている。プラグインの開発元であるcyberchimpsは対策を進めており、早急なアップデートが推奨される。

【CVE-2024-13370】WordPressプラグインYouzif 1.3.2に認証バイパスの脆弱性、ライセンスキー機能に重大な欠陥

【CVE-2024-13370】WordPressプラグインYouzif 1.3.2に認証バイ...

WordPressのコミュニティ管理プラグインYouzifyにおいて、バージョン1.3.2以前に重大な認証バイパスの脆弱性が発見された。CVE-2024-13370として識別されるこの脆弱性は、save_addon_key_license関数における認証チェックの欠如が原因で、Subscriber以上の権限を持つユーザーが任意のオプションを更新可能となる深刻な問題を引き起こす。CVSS v3.1で6.5(中程度)と評価されている。

【CVE-2024-13370】WordPressプラグインYouzif 1.3.2に認証バイ...

WordPressのコミュニティ管理プラグインYouzifyにおいて、バージョン1.3.2以前に重大な認証バイパスの脆弱性が発見された。CVE-2024-13370として識別されるこの脆弱性は、save_addon_key_license関数における認証チェックの欠如が原因で、Subscriber以上の権限を持つユーザーが任意のオプションを更新可能となる深刻な問題を引き起こす。CVSS v3.1で6.5(中程度)と評価されている。

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、未認証ユーザーによる任意のメール送信が可能に

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前において、未認証ユーザーが任意のメールを送信できる重大な脆弱性が発見された。CVE-2024-13371として識別されるこの脆弱性は、sendEmailToJobSeeker()関数における認証チェックの欠如に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。プラグインを導入しているWordPressサイトでは、早急なアップデートが推奨される。

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前において、未認証ユーザーが任意のメールを送信できる重大な脆弱性が発見された。CVE-2024-13371として識別されるこの脆弱性は、sendEmailToJobSeeker()関数における認証チェックの欠如に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。プラグインを導入しているWordPressサイトでは、早急なアップデートが推奨される。

【CVE-2024-13372】WP Job Portal 2.2.6以前に認証バイパスの脆弱性、履歴書情報の漏洩リスクが発覚

【CVE-2024-13372】WP Job Portal 2.2.6以前に認証バイパスの脆弱...

WordPressのプラグイン「WP Job Portal」において、バージョン2.2.6以前に重大な脆弱性が発見された。この脆弱性により、認証されていない攻撃者が任意のユーザーの履歴書データを不正にダウンロードすることが可能となる。CVSSスコア5.3(MEDIUM)と評価され、特に個人情報保護の観点から早急な対応が求められる事態となっている。

【CVE-2024-13372】WP Job Portal 2.2.6以前に認証バイパスの脆弱...

WordPressのプラグイン「WP Job Portal」において、バージョン2.2.6以前に重大な脆弱性が発見された。この脆弱性により、認証されていない攻撃者が任意のユーザーの履歴書データを不正にダウンロードすることが可能となる。CVSSスコア5.3(MEDIUM)と評価され、特に個人情報保護の観点から早急な対応が求められる事態となっている。

【CVE-2024-13408】Post Grid, Slider & Carousel Ultimate 1.6.10にファイル包含の脆弱性、貢献者権限で任意のファイル実行が可能に

【CVE-2024-13408】Post Grid, Slider & Carousel Ul...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」の1.6.10以前のバージョンに深刻な脆弱性が発見された。CVE-2024-13408として識別されるこの脆弱性は、貢献者以上の権限があれば「pgcu」ショートコードの「theme」属性を介して任意のファイルを実行可能。CVSS v3.1で7.5の評価を受け、アクセス制御のバイパスや機密データの取得などのリスクがある。

【CVE-2024-13408】Post Grid, Slider & Carousel Ul...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」の1.6.10以前のバージョンに深刻な脆弱性が発見された。CVE-2024-13408として識別されるこの脆弱性は、貢献者以上の権限があれば「pgcu」ショートコードの「theme」属性を介して任意のファイルを実行可能。CVSS v3.1で7.5の評価を受け、アクセス制御のバイパスや機密データの取得などのリスクがある。

【CVE-2024-13409】WordPress用プラグインPost Grid, Slider & Carousel Ultimateに深刻な脆弱性、任意のファイル実行が可能に

【CVE-2024-13409】WordPress用プラグインPost Grid, Slide...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」のバージョン1.6.10以前において、ローカルファイルインクルージョンの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のファイルを実行可能で、アクセス制御のバイパスや機密データの取得につながる可能性がある。CVSSスコア7.5の高リスク脆弱性として評価されている。

【CVE-2024-13409】WordPress用プラグインPost Grid, Slide...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」のバージョン1.6.10以前において、ローカルファイルインクルージョンの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のファイルを実行可能で、アクセス制御のバイパスや機密データの取得につながる可能性がある。CVSSスコア7.5の高リスク脆弱性として評価されている。

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12.0から15.0の広範な製品に影響

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12...

MediaTekは2025年2月3日、DAにおける境界値チェックの欠如による権限昇格の脆弱性【CVE-2025-20641】を公開した。物理アクセスを持つ攻撃者によって追加の実行権限なしで権限昇格が可能となる重大な脆弱性で、Android 12.0から15.0を搭載したMT6739からMT8893までの幅広い製品に影響する。CVSSスコアは7.3(High)と評価されており、早急な対応が求められる。

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12...

MediaTekは2025年2月3日、DAにおける境界値チェックの欠如による権限昇格の脆弱性【CVE-2025-20641】を公開した。物理アクセスを持つ攻撃者によって追加の実行権限なしで権限昇格が可能となる重大な脆弱性で、Android 12.0から15.0を搭載したMT6739からMT8893までの幅広い製品に影響する。CVSSスコアは7.3(High)と評価されており、早急な対応が求められる。

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な脆弱性を公開、複数バージョンで更新が必要に

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な...

MicrosoftはVisual StudioとNETに影響を及ぼすリモートコード実行の脆弱性を公開した。Visual Studio 2017から2022の複数バージョンおよびNET 8.0と9.0に影響があり、CVSSスコア7.5と高い深刻度を示している。Integer OverflowとHeap-based Buffer Overflowの2つの脆弱性タイプに分類され、早急なアップデートが推奨される。

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な...

MicrosoftはVisual StudioとNETに影響を及ぼすリモートコード実行の脆弱性を公開した。Visual Studio 2017から2022の複数バージョンおよびNET 8.0と9.0に影響があり、CVSSスコア7.5と高い深刻度を示している。Integer OverflowとHeap-based Buffer Overflowの2つの脆弱性タイプに分類され、早急なアップデートが推奨される。

【CVE-2025-21187】Microsoft Power Automateにリモートコード実行の脆弱性、早急なアップデートが必要に

【CVE-2025-21187】Microsoft Power Automateにリモートコー...

Microsoftは2025年1月14日、Power Automate for Desktopにリモートコード実行の脆弱性【CVE-2025-21187】を発見したと発表した。影響を受けるバージョンは1.0.0.0から2.52.62.25009未満で、CVSSスコアは7.8のHigh深刻度に分類される。攻撃者によるコード実行を防ぐため、影響を受けるユーザーは速やかなアップデートが推奨される。

【CVE-2025-21187】Microsoft Power Automateにリモートコー...

Microsoftは2025年1月14日、Power Automate for Desktopにリモートコード実行の脆弱性【CVE-2025-21187】を発見したと発表した。影響を受けるバージョンは1.0.0.0から2.52.62.25009未満で、CVSSスコアは7.8のHigh深刻度に分類される。攻撃者によるコード実行を防ぐため、影響を受けるユーザーは速やかなアップデートが推奨される。

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

米Googleは2025年2月5日、AIモデル「Gemini 2.0」の全ユーザーへの提供を開始すると発表した。デスクトップとモバイルの「Gemini」アプリでの「2.0 Flash」提供に続き、Google AI StudioとVertex AIのGemini APIでも提供を開始。開発者は本番環境でのアプリケーション構築が可能になり、高効率なAI機能の実装が実現可能に。

GoogleがGemini 2.0を全ユーザーに提供開始、開発者向けAPIで本番環境での構築が可能に

米Googleは2025年2月5日、AIモデル「Gemini 2.0」の全ユーザーへの提供を開始すると発表した。デスクトップとモバイルの「Gemini」アプリでの「2.0 Flash」提供に続き、Google AI StudioとVertex AIのGemini APIでも提供を開始。開発者は本番環境でのアプリケーション構築が可能になり、高効率なAI機能の実装が実現可能に。

エクサウィザーズが自治体向けDXアセスメントサービスDIA for 自治体を開始し行政機関のデジタル人材育成を強化

エクサウィザーズが自治体向けDXアセスメントサービスDIA for 自治体を開始し行政機関のデ...

株式会社エクサウィザーズは2025年2月4日、DX人材発掘・育成サービス「exaBase DXアセスメント&ラーニング」の新サービスとして「DIA for 自治体」の提供を開始した。総務省の「自治体DX全体手順書」に対応した人材要件をプリセットし、DXリテラシーの可視化から推進リーダーの育成まで、行政機関特有のニーズに応える包括的なサービスを展開する。

エクサウィザーズが自治体向けDXアセスメントサービスDIA for 自治体を開始し行政機関のデ...

株式会社エクサウィザーズは2025年2月4日、DX人材発掘・育成サービス「exaBase DXアセスメント&ラーニング」の新サービスとして「DIA for 自治体」の提供を開始した。総務省の「自治体DX全体手順書」に対応した人材要件をプリセットし、DXリテラシーの可視化から推進リーダーの育成まで、行政機関特有のニーズに応える包括的なサービスを展開する。

両備システムズが公開羅針盤V4人事給与システムを開発、自治体DXの推進による業務効率化を実現

両備システムズが公開羅針盤V4人事給与システムを開発、自治体DXの推進による業務効率化を実現

株式会社両備システムズは地方自治体向けシステム「公開羅針盤V4シリーズ」の人事給与システムを2025年2月より提供開始すると発表した。正規職員や会計年度任用職員の人事情報と給与情報を一つのパッケージで一元管理し、データ連携機能も標準装備している。2030年末までに人事給与システム単独で10億円の販売目標を掲げており、自治体DXの推進に貢献することが期待される。

両備システムズが公開羅針盤V4人事給与システムを開発、自治体DXの推進による業務効率化を実現

株式会社両備システムズは地方自治体向けシステム「公開羅針盤V4シリーズ」の人事給与システムを2025年2月より提供開始すると発表した。正規職員や会計年度任用職員の人事情報と給与情報を一つのパッケージで一元管理し、データ連携機能も標準装備している。2030年末までに人事給与システム単独で10億円の販売目標を掲げており、自治体DXの推進に貢献することが期待される。