Tech Insights

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのアクセスが向上

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのア...

株式会社シーエムシー出版が『機能性ポリウレタンの進化と展望《普及版》』を2025年2月6日に発刊する。古川睦久氏と和田浩志氏の監修のもと、31名の専門家がポリウレタンの基礎から応用までを網羅的に解説。335頁の大作が税込5,610円で提供され、自動車内装材から3Dプリンター用樹脂まで、最新の応用分野について詳細な情報を得ることが可能になる。

シーエムシー出版が機能性ポリウレタンの専門書を普及版として発売、研究者や技術者の専門知識へのア...

株式会社シーエムシー出版が『機能性ポリウレタンの進化と展望《普及版》』を2025年2月6日に発刊する。古川睦久氏と和田浩志氏の監修のもと、31名の専門家がポリウレタンの基礎から応用までを網羅的に解説。335頁の大作が税込5,610円で提供され、自動車内装材から3Dプリンター用樹脂まで、最新の応用分野について詳細な情報を得ることが可能になる。

札幌AI道場が第3期成果発表会を開催、産学官連携によるAI人材育成の成果を披露へ

札幌AI道場が第3期成果発表会を開催、産学官連携によるAI人材育成の成果を披露へ

札幌市の産学官連携組織「札幌AIラボ」が2025年2月14日に札幌AI道場第3期成果発表会を開催する。社会人・学生・高度外国人材130名以上が参加する実践的AI人材育成プログラムの成果発表に加え、市内IT企業のAI開発案件創出や販路拡大支援の新施策も発表される。参加者はAI活用のヒントを得られるとともに、AIエンジニアとのネットワーク構築も可能だ。

札幌AI道場が第3期成果発表会を開催、産学官連携によるAI人材育成の成果を披露へ

札幌市の産学官連携組織「札幌AIラボ」が2025年2月14日に札幌AI道場第3期成果発表会を開催する。社会人・学生・高度外国人材130名以上が参加する実践的AI人材育成プログラムの成果発表に加え、市内IT企業のAI開発案件創出や販路拡大支援の新施策も発表される。参加者はAI活用のヒントを得られるとともに、AIエンジニアとのネットワーク構築も可能だ。

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

株式会社デイトラが実施した地方在住受講生97名への満足度調査で、約80%が地元でのキャリアアップを実現し、約48%が収入増加を達成した。調査では5段階評価で平均4.23という高い生活満足度も記録され、地方IT人材育成の新たな可能性を示す結果となった。特に収入増加者の約56%が100-200万円程度の収入増を達成するなど、具体的な成果が表れている。

デイトラの地方IT人材育成調査、受講者の80%が地元でキャリアアップを実現し地方IT格差の是正に貢献

株式会社デイトラが実施した地方在住受講生97名への満足度調査で、約80%が地元でのキャリアアップを実現し、約48%が収入増加を達成した。調査では5段階評価で平均4.23という高い生活満足度も記録され、地方IT人材育成の新たな可能性を示す結果となった。特に収入増加者の約56%が100-200万円程度の収入増を達成するなど、具体的な成果が表れている。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtimeAPI機能を追加、リアルタイム対話システムの実装が容易に

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

MicrosoftがAzure OpenAI向けJavaScriptライブラリにRealtim...

MicrosoftはAzure OpenAIサービスの機能強化として、JavaScriptライブラリv4.81.0にRealtimeAPI機能を追加。WebSocketとwsに対応した2種類のクライアントを提供し、Node.jsやブラウザなど様々な開発環境での即時レスポンスを実現。音声対話やストリーミングデータ処理、ライブモニタリングツールなどの分野での活用が期待される。

Windows Terminal Preview 1.23がリリース、設定UIの大幅な改善でユーザビリティが向上

Windows Terminal Preview 1.23がリリース、設定UIの大幅な改善でユ...

Microsoftが2025年2月5日にWindows Terminal Preview 1.23をリリース。設定UIが刷新され、従来settings.jsonでのみ可能だった設定の多くがUI上で操作可能に。新たに互換性設定ページやTerminal Emulation設定が追加され、より柔軟な環境構築が可能になった。また、アイコンカスタマイズやカラースキームのオーバーライド機能など、視覚的な改善も実施している。

Windows Terminal Preview 1.23がリリース、設定UIの大幅な改善でユ...

Microsoftが2025年2月5日にWindows Terminal Preview 1.23をリリース。設定UIが刷新され、従来settings.jsonでのみ可能だった設定の多くがUI上で操作可能に。新たに互換性設定ページやTerminal Emulation設定が追加され、より柔軟な環境構築が可能になった。また、アイコンカスタマイズやカラースキームのオーバーライド機能など、視覚的な改善も実施している。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性、NULLポインタ参照の危険性が浮上

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポインタ参照によるシステムクラッシュの危険性

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-deref対策で安定性向上へ

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機能のクラッシュ問題に対処

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が発覚、複数のバージョンに影響

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が...

2025年1月31日、Linux kernelの開発チームがIPsecトンネルモードにおける重大な依存性の問題を公開した。この問題はデバッグカーネルでIPsecパケットオフロードを有効化する際に発生し、特にSOFTIRQ-safeからSOFTIRQ-unsafeへのロック順序の依存性に起因している。影響を受けるバージョンはLinux 6.4以降で、すでに複数の修正パッチが提供されている。

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が...

2025年1月31日、Linux kernelの開発チームがIPsecトンネルモードにおける重大な依存性の問題を公開した。この問題はデバッグカーネルでIPsecパケットオフロードを有効化する際に発生し、特にSOFTIRQ-safeからSOFTIRQ-unsafeへのロック順序の依存性に起因している。影響を受けるバージョンはLinux 6.4以降で、すでに複数の修正パッチが提供されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの脆弱性が発見、プロフィール画像機能での任意コード実行が可能に

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-13234】Product Table by WBWにSQLインジェクションの脆弱性、未認証での攻撃が可能に

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にXSS脆弱性、貢献者権限で悪用の可能性

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報アクセスが可能に

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証済みユーザーによるSQLインジェクションの脆弱性が発見、データベースからの機密情報抽出のリスクに

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13758】CP Contact Form with PayPalでCSRF脆弱性を確認、管理者権限での不正操作が可能に

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なSQLインジェクション脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0846】Employee Task Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。