Tech Insights

MicrosoftがWSLにFedora Linuxを追加、tarベース新アーキテクチャの採用でディストリビューション拡充へ

MicrosoftがWSLにFedora Linuxを追加、tarベース新アーキテクチャの採用...

MicrosoftはWindows Subsystem for Linux(WSL)の公式ディストリビューションリストにFedora Linuxを追加した。Fedora Linux 42からtarベースの新アーキテクチャを採用し、最新の開発ツールチェーンを標準搭載。GUIアプリケーションのハードウェアアクセラレーション対応やFlatpakエクスペリエンスの改善も計画されている。

MicrosoftがWSLにFedora Linuxを追加、tarベース新アーキテクチャの採用...

MicrosoftはWindows Subsystem for Linux(WSL)の公式ディストリビューションリストにFedora Linuxを追加した。Fedora Linux 42からtarベースの新アーキテクチャを採用し、最新の開発ツールチェーンを標準搭載。GUIアプリケーションのハードウェアアクセラレーション対応やFlatpakエクスペリエンスの改善も計画されている。

Node.js 24が正式リリース、V8エンジン13.6とnpm 11を採用しWindowsビルド環境も刷新

Node.js 24が正式リリース、V8エンジン13.6とnpm 11を採用しWindowsビ...

JavaScriptの実行環境Node.jsの新メジャーバージョンNode.js 24が公開された。V8エンジンをバージョン13.6に更新しFloat16ArrayやRegExp.escapeなどの新機能を追加、npmもバージョン11に更新してパフォーマンスとセキュリティを強化。WindowsビルドではMSVCサポートを終了しClangCLを採用、AsyncLocalStorageやURLPatternの改善も実施された。

Node.js 24が正式リリース、V8エンジン13.6とnpm 11を採用しWindowsビ...

JavaScriptの実行環境Node.jsの新メジャーバージョンNode.js 24が公開された。V8エンジンをバージョン13.6に更新しFloat16ArrayやRegExp.escapeなどの新機能を追加、npmもバージョン11に更新してパフォーマンスとセキュリティを強化。WindowsビルドではMSVCサポートを終了しClangCLを採用、AsyncLocalStorageやURLPatternの改善も実施された。

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機能を搭載

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機...

株式会社スイッチサイエンスは、M5Stack社開発のIoT端末開発デバイス「Tab5」の国内販売を2025年5月9日12時より開始する。5インチタッチディスプレイとESP32-C6-MINI-1U、ESP32-P4のデュアルSoCを搭載し、Wi-Fi 6やMatter、Thread対応の通信機能や2メガピクセルカメラによるエッジAI処理が可能。スイッチサイエンスウェブショップでの価格は9,878円に設定された。

スイッチサイエンスがM5Stack Tab5の国内販売を開始、IoT開発向けデバイスが充実の機...

株式会社スイッチサイエンスは、M5Stack社開発のIoT端末開発デバイス「Tab5」の国内販売を2025年5月9日12時より開始する。5インチタッチディスプレイとESP32-C6-MINI-1U、ESP32-P4のデュアルSoCを搭載し、Wi-Fi 6やMatter、Thread対応の通信機能や2メガピクセルカメラによるエッジAI処理が可能。スイッチサイエンスウェブショップでの価格は9,878円に設定された。

GoogleがGemini 2.5 Pro Previewを早期公開、Webアプリ開発のコーディング性能が大幅向上

GoogleがGemini 2.5 Pro Previewを早期公開、Webアプリ開発のコーデ...

Googleは2025年5月6日、Gemini 2.5 Proのコーディング性能を強化した「Gemini 2.5 Pro Preview (I/O edition)」の早期アクセス版を公開した。WebDev Arenaで従来版から147 Eloポイント上回るスコアを記録し首位を獲得。UI開発やコード変換、エージェントワークフロー開発など幅広い機能が向上し、GeminiアプリやAPI経由で利用可能。

GoogleがGemini 2.5 Pro Previewを早期公開、Webアプリ開発のコーデ...

Googleは2025年5月6日、Gemini 2.5 Proのコーディング性能を強化した「Gemini 2.5 Pro Preview (I/O edition)」の早期アクセス版を公開した。WebDev Arenaで従来版から147 Eloポイント上回るスコアを記録し首位を獲得。UI開発やコード変換、エージェントワークフロー開発など幅広い機能が向上し、GeminiアプリやAPI経由で利用可能。

Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化

Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化

インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。

Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化

インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。

インテルがFPGA部門アルテラを分社化し投資会社Silver Lakeに売却、半導体業界の構造変化が加速

インテルがFPGA部門アルテラを分社化し投資会社Silver Lakeに売却、半導体業界の構造...

インテルは2025年4月14日、FPGA部門から分社化したアルテラ事業の51%を投資会社Silver Lakeに売却することを発表した。取引額は87.5億ドルで、新CEOにRaghib Hussainが就任予定。アルテラはFPGA半導体ソリューション分野での独立した事業展開を目指し、AI駆動型市場でのイノベーション推進を加速する方針だ。

インテルがFPGA部門アルテラを分社化し投資会社Silver Lakeに売却、半導体業界の構造...

インテルは2025年4月14日、FPGA部門から分社化したアルテラ事業の51%を投資会社Silver Lakeに売却することを発表した。取引額は87.5億ドルで、新CEOにRaghib Hussainが就任予定。アルテラはFPGA半導体ソリューション分野での独立した事業展開を目指し、AI駆動型市場でのイノベーション推進を加速する方針だ。

MicrosoftがAzure Developer CLI 1.15.0をリリース、CI/CDパイプライン自動生成機能とApp Serviceサポートで開発効率が向上

MicrosoftがAzure Developer CLI 1.15.0をリリース、CI/CD...

MicrosoftはAzure Developer CLI(azd)バージョン1.15.0を2025年5月7日にリリースした。CI定義の自動生成機能によってGitHub Actionsワークフローの作成が容易になり、Node.jsとPythonアプリケーションのAzure App Serviceへのデプロイもサポート。また、Remote MCP ServersやAzure Functions MCP Serverなど19件の新しいテンプレートも追加され、開発者の生産性向上に貢献する。

MicrosoftがAzure Developer CLI 1.15.0をリリース、CI/CD...

MicrosoftはAzure Developer CLI(azd)バージョン1.15.0を2025年5月7日にリリースした。CI定義の自動生成機能によってGitHub Actionsワークフローの作成が容易になり、Node.jsとPythonアプリケーションのAzure App Serviceへのデプロイもサポート。また、Remote MCP ServersやAzure Functions MCP Serverなど19件の新しいテンプレートも追加され、開発者の生産性向上に貢献する。

MicrosoftがAzure Cosmos DB for MongoDBにData APIを一般提供開始、HTTPSによる直接アクセスとPower BI連携で開発効率が向上

MicrosoftがAzure Cosmos DB for MongoDBにData APIを...

MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。

MicrosoftがAzure Cosmos DB for MongoDBにData APIを...

MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上とスキル習得を支援

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...

AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。

CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...

AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。

【CVE-2025-3874】WordPress Simple PayPal Shopping Cart 5.1.3に深刻な脆弱性、認証バイパスの危険性が明らかに

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPHP Object Injection脆弱性、未認証での攻撃が可能に

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグインと連携時に影響

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証不備の脆弱性、複数バージョンでリスク発生

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。

【CVE-2024-13419】Smart Framework搭載WordPressプラグインに認証後の重大な脆弱性、複数のフレームワークが影響を受ける状態に

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。

【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...

WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...

WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。

【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...

WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。

【CVE-2025-3889】WordPress Simple Shopping Cart 5.1.3以前に脆弱性、数量操作による価格改ざんの危険性が判明

【CVE-2025-3889】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に脆弱性が存在することを公開した。Manual Checkoutモード使用時に未認証のユーザーが商品数量を負の値に操作可能で、注文合計額を不正に減額できる問題が発覚。CVSSスコア5.3のMEDIUMレベルと評価され、PayPalやStripe決済では影響を受けないものの、早急な対応が推奨されている。

【CVE-2025-3889】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に脆弱性が存在することを公開した。Manual Checkoutモード使用時に未認証のユーザーが商品数量を負の値に操作可能で、注文合計額を不正に減額できる問題が発覚。CVSSスコア5.3のMEDIUMレベルと評価され、PayPalやStripe決済では影響を受けないものの、早急な対応が推奨されている。

【CVE-2025-3890】WordPress Simple Shopping Cart 5.1.3以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2025-3890】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。

【CVE-2025-3890】WordPress Simple Shopping Cart 5...

Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が発見、認証済みユーザーによる攻撃のリスクに警戒

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...

WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。

【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...

WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。

【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆弱性、SVGファイルを介した攻撃が可能に

【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...

WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。

【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...

WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻なXSS脆弱性、早急な対応が必要に

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...

WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...

WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。

【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS脆弱性、Subscriber権限で攻撃可能に

【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...

WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。

【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...

WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。

【CVE-2025-3488】WordPressプラグインWPML 3.6.0-4.7.3にXSS脆弱性、投稿者権限で悪用可能

【CVE-2025-3488】WordPressプラグインWPML 3.6.0-4.7.3にX...

WordfenceはWordPressのマルチ言語プラグインWPMLにおいて、wpml_language_switcherショートコードを介した格納型クロスサイトスクリプティングの脆弱性を発見した。この脆弱性はバージョン3.6.0から4.7.3に影響し、CVSS 3.1で6.4(中)と評価されている。投稿者以上の権限を持つアカウントでログインすることで、ページにアクセスした他のユーザーに対して任意のスクリプトを実行できる可能性がある。

【CVE-2025-3488】WordPressプラグインWPML 3.6.0-4.7.3にX...

WordfenceはWordPressのマルチ言語プラグインWPMLにおいて、wpml_language_switcherショートコードを介した格納型クロスサイトスクリプティングの脆弱性を発見した。この脆弱性はバージョン3.6.0から4.7.3に影響し、CVSS 3.1で6.4(中)と評価されている。投稿者以上の権限を持つアカウントでログインすることで、ページにアクセスした他のユーザーに対して任意のスクリプトを実行できる可能性がある。

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイトスクリプティングの脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイ...

WordfenceはWordPress用プラグインBuddyBoss Platformのバージョン2.8.50以前に存在するクロスサイトスクリプティングの脆弱性をCVE-2024-13859として公開した。bp_nouveau_ajax_media_save関数における入力サニタイズと出力エスケープの不備により、Subscriberレベル以上の権限を持つユーザーが悪意のあるスクリプトを実行可能な状態となっている。CVSSスコアは6.4で中程度の深刻度と評価されている。

【CVE-2024-13859】BuddyBoss Platform 2.8.50にクロスサイ...

WordfenceはWordPress用プラグインBuddyBoss Platformのバージョン2.8.50以前に存在するクロスサイトスクリプティングの脆弱性をCVE-2024-13859として公開した。bp_nouveau_ajax_media_save関数における入力サニタイズと出力エスケープの不備により、Subscriberレベル以上の権限を持つユーザーが悪意のあるスクリプトを実行可能な状態となっている。CVSSスコアは6.4で中程度の深刻度と評価されている。

【CVE-2025-3915】Aeropage Sync for Airtableに認証バイパスの脆弱性、任意の投稿削除が可能に

【CVE-2025-3915】Aeropage Sync for Airtableに認証バイパ...

WordPressプラグインAeropage Sync for Airtableにおいて、認証に関する重大な脆弱性が発見された。バージョン3.2.0以前が影響を受け、Subscriber以上の権限を持つユーザーが任意の投稿を削除可能になる。CVSSスコアは4.3でMEDIUMと評価され、早急な対応が必要とされている。Wordfenceが2025年4月26日に公開したこの脆弱性は、プラグインの認証機能における深刻な問題を示している。

【CVE-2025-3915】Aeropage Sync for Airtableに認証バイパ...

WordPressプラグインAeropage Sync for Airtableにおいて、認証に関する重大な脆弱性が発見された。バージョン3.2.0以前が影響を受け、Subscriber以上の権限を持つユーザーが任意の投稿を削除可能になる。CVSSスコアは4.3でMEDIUMと評価され、早急な対応が必要とされている。Wordfenceが2025年4月26日に公開したこの脆弱性は、プラグインの認証機能における深刻な問題を示している。

【CVE-2024-13858】BuddyBoss Platform 2.8.50にXSS脆弱性、認証済みユーザーによる攻撃の可能性が発覚

【CVE-2024-13858】BuddyBoss Platform 2.8.50にXSS脆弱...

WordfenceがWordPress用プラグインBuddyBoss Platformの重大な脆弱性を公開。バージョン2.8.50以前に存在するStored XSSの脆弱性により、Subscriber以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSS v3.1で6.4(Medium)と評価され、特別な条件なしにネットワーク経由での攻撃が可能な状態となっている。

【CVE-2024-13858】BuddyBoss Platform 2.8.50にXSS脆弱...

WordfenceがWordPress用プラグインBuddyBoss Platformの重大な脆弱性を公開。バージョン2.8.50以前に存在するStored XSSの脆弱性により、Subscriber以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSS v3.1で6.4(Medium)と評価され、特別な条件なしにネットワーク経由での攻撃が可能な状態となっている。

【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意のプラグインインストールが可能に

【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...

WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。

【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...

WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。

【CVE-2025-1327】WordPressテーマHomey 2.4.4に認証済みユーザーによる任意アカウント削除の脆弱性が発見

【CVE-2025-1327】WordPressテーマHomey 2.4.4に認証済みユーザー...

WordPressテーマHomeyのバージョン2.4.4以前に重大な脆弱性が発見された。この脆弱性はInsecure Direct Object Reference(IDOR)に分類され、認証済みユーザー(Subscriber以上)が他のユーザーアカウントを任意に削除できてしまう問題である。CVSSスコアは4.3(Medium)と評価され、'homey_delete_user_account'アクションを通じて攻撃が可能となる。

【CVE-2025-1327】WordPressテーマHomey 2.4.4に認証済みユーザー...

WordPressテーマHomeyのバージョン2.4.4以前に重大な脆弱性が発見された。この脆弱性はInsecure Direct Object Reference(IDOR)に分類され、認証済みユーザー(Subscriber以上)が他のユーザーアカウントを任意に削除できてしまう問題である。CVSSスコアは4.3(Medium)と評価され、'homey_delete_user_account'アクションを通じて攻撃が可能となる。

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な脆弱性、Contributor権限でリモートコード実行が可能に

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...

WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。

【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...

WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。

【CVE-2024-13381】Calculated Fields Form 5.2.62未満にXSS脆弱性、マルチサイト環境での悪用の可能性

【CVE-2024-13381】Calculated Fields Form 5.2.62未満...

WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。

【CVE-2024-13381】Calculated Fields Form 5.2.62未満...

WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオーバーフロー脆弱性、早急な対応が必要に

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオー...

MITRE CorporationがTOTOLINK A800R V4.1.2cu.5137_B20200730に存在するバッファオーバーフロー脆弱性を公開した。downloadFile.cgiのv25パラメータに関連する【CVE-2025-28020】は、CVSSスコア7.3と高く評価され、リモートからの攻撃が可能でシステムに部分的な影響を与える可能性がある。攻撃の自動化も可能であり、特別な権限や条件が不要なことから、早急な対応が必要とされている。

【CVE-2025-28020】TOTOLINK A800R V4.1.2に深刻なバッファオー...

MITRE CorporationがTOTOLINK A800R V4.1.2cu.5137_B20200730に存在するバッファオーバーフロー脆弱性を公開した。downloadFile.cgiのv25パラメータに関連する【CVE-2025-28020】は、CVSSスコア7.3と高く評価され、リモートからの攻撃が可能でシステムに部分的な影響を与える可能性がある。攻撃の自動化も可能であり、特別な権限や条件が不要なことから、早急な対応が必要とされている。