Tech Insights

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェクション脆弱性、データベースからの情報漏洩のリスク

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

【CVE-2025-2221】WPCOM Member 1.7.6に認証不要のSQLインジェク...

WordPressプラグインWPCOM Member 1.7.6以前のバージョンに重大な脆弱性が発見された。user_phoneパラメータを介したSQLインジェクションが可能で、認証なしでデータベースから機密情報を抽出できる。CVSSスコア7.5と高い深刻度を示しており、早急なアップデートが推奨される。wesley finderによって発見され、CVE-2025-2221として報告されている。

Git for Windows v2.49.0がリリース、name-hash v2の正式採用で大規模プロジェクトの開発効率が向上

Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...

分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。

Git for Windows v2.49.0がリリース、name-hash v2の正式採用で...

分散型バージョン管理システム「Git」のWindows版「Git for Windows」がv2.49.0へアップデート。実験的機能だったname-hash v2が正式採用され、パックファイルの処理速度とサイズ効率が大幅に改善。32bit版は段階的に提供終了へ移行し、SVNサポートも今後数カ月で廃止予定。OpenSSH v9.9.P2やPCRE2 v10.45など主要コンポーネントも更新された。

Visual Studio 2022がGitHubアカウントの複数管理に対応、開発者の生産性向上を実現

Visual Studio 2022がGitHubアカウントの複数管理に対応、開発者の生産性向...

MicrosoftがVisual Studio 2022で複数のGitHubアカウント管理機能を実装。プロファイルカードからの直感的な操作でアカウントの追加・切り替えが可能になり、GitHub Copilotの自動アクティベーションにも対応。バージョン管理機能も強化され、リポジトリごとの設定保存により、Git操作がよりスムーズに。開発者の要望に応える形で、より効率的な開発環境を実現。

Visual Studio 2022がGitHubアカウントの複数管理に対応、開発者の生産性向...

MicrosoftがVisual Studio 2022で複数のGitHubアカウント管理機能を実装。プロファイルカードからの直感的な操作でアカウントの追加・切り替えが可能になり、GitHub Copilotの自動アクティベーションにも対応。バージョン管理機能も強化され、リポジトリごとの設定保存により、Git操作がよりスムーズに。開発者の要望に応える形で、より効率的な開発環境を実現。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null pointer dereferenceの対策パッチを公開

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

MicrosoftがVisual StudioにGPT-4oベースの新Copilotを導入、30以上のプログラミング言語に対応し開発効率が向上

MicrosoftがVisual StudioにGPT-4oベースの新Copilotを導入、3...

MicrosoftはVisual Studio向けに新しいGPT-4oベースのCopilotコード補完モデルを発表した。GPT-4o miniをベースに30以上のプログラミング言語と275,000以上の高品質なパブリックリポジトリでトレーニングを実施することで、より正確な提案とパフォーマンスの向上を実現。Visual Studio 17.14 Preview 2から利用可能で、開発効率の大幅な向上が期待される。

MicrosoftがVisual StudioにGPT-4oベースの新Copilotを導入、3...

MicrosoftはVisual Studio向けに新しいGPT-4oベースのCopilotコード補完モデルを発表した。GPT-4o miniをベースに30以上のプログラミング言語と275,000以上の高品質なパブリックリポジトリでトレーニングを実施することで、より正確な提案とパフォーマンスの向上を実現。Visual Studio 17.14 Preview 2から利用可能で、開発効率の大幅な向上が期待される。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョン1.2.3以前のユーザーに影響

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1319】Site Mailerプラグインに未認証のXSS脆弱性、バージョ...

WordPressプラグイン「Site Mailer」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.3以前の全バージョンが影響を受け、未認証の攻撃者による任意のスクリプト実行が可能となっている。CVSSスコアは6.4(MEDIUM)で、ネットワーク経由での攻撃が可能。脆弱性はCWE-79として分類され、整合性と機密性への影響が指摘されている。

【CVE-2025-1506】WordPressプラグインWp Social Login and Register Social Counter 3.1.0にCSRF脆弱性が発見、管理者権限での設定変

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、登録済みユーザーによる情報漏洩のリスクに警鐘

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-1878】i-Drive i11/i12ダッシュカムのWiFiセキュリティ脆弱性が発覚、デフォルトパスワード問題で対策が必要に

【CVE-2025-1878】i-Drive i11/i12ダッシュカムのWiFiセキュリティ...

i-Drive社のダッシュカメラi11およびi12において、2025年2月27日までのバージョンでWiFiコンポーネントのデフォルトパスワードに関する脆弱性が発見された。CVE-2025-1878として識別されたこの問題は、CVSS 4.0で2.3(低)と評価されているものの、ローカルネットワークでの攻撃リスクが存在する。製品のライフサイクル終了の可能性も指摘されており、早急な対策が求められている。

【CVE-2025-1878】i-Drive i11/i12ダッシュカムのWiFiセキュリティ...

i-Drive社のダッシュカメラi11およびi12において、2025年2月27日までのバージョンでWiFiコンポーネントのデフォルトパスワードに関する脆弱性が発見された。CVE-2025-1878として識別されたこの問題は、CVSS 4.0で2.3(低)と評価されているものの、ローカルネットワークでの攻撃リスクが存在する。製品のライフサイクル終了の可能性も指摘されており、早急な対策が求められている。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bounds Read脆弱性が発見、ローカル攻撃によるDOS攻撃のリスクに

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-21089】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、境界外読み取りの脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、ローカル攻撃者によってサービス妨害攻撃が実行される可能性がある。CVSSスコアは3.1でLowと評価され、攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは低いとされている。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリインストールアプリで任意コード実行の可能性

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

【CVE-2025-20091】OpenHarmony v5.0.2でUAF脆弱性が発見、プリ...

OpenHarmonyのCommunication DsoftbusにおいてUAF(Use After Free)脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響し、プリインストールアプリケーションを介した任意のコード実行を可能にする。CVSSスコアは3.1で深刻度は低いものの、適切な対策が必要とされている。特定の制限されたシナリオでのみ悪用可能だが、システムの機密性への影響が懸念される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆弱性、プリインストールアプリを介した攻撃の可能性

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。

レクシスネクシスがAIエージェントProtégéを国内提供開始、リーガルワークフローの自動化と効率化を実現

レクシスネクシスがAIエージェントProtégéを国内提供開始、リーガルワークフローの自動化と...

レクシスネクシス・ジャパンは2025年3月6日、AIアシスタント「LexisNexis Protégé」の国内一般提供を開始した。最高レベルのセキュリティとコンプライアンスを備え、取引文書や訴訟申立書の作成、文書管理、AIタスク実行など、法務業務の効率化を実現する機能を提供する。独自のRAGプラットフォームと高度な暗号化技術により、安全で信頼性の高いAIソリューションを実現している。

レクシスネクシスがAIエージェントProtégéを国内提供開始、リーガルワークフローの自動化と...

レクシスネクシス・ジャパンは2025年3月6日、AIアシスタント「LexisNexis Protégé」の国内一般提供を開始した。最高レベルのセキュリティとコンプライアンスを備え、取引文書や訴訟申立書の作成、文書管理、AIタスク実行など、法務業務の効率化を実現する機能を提供する。独自のRAGプラットフォームと高度な暗号化技術により、安全で信頼性の高いAIソリューションを実現している。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-24301】OpenHarmony v5.0.2にUAF脆弱性が発見、プリ...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Use After Free(UAF)の脆弱性が発見された。この脆弱性はCVE-2025-24301として識別され、v4.1.0からv5.0.2までのバージョンに影響を与える。プリインストールアプリケーションでの任意コード実行のリスクがあるものの、CVSSスコアは3.8(Low)で、特権が必要な制限されたシナリオでのみ悪用可能とされている。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bounds読み取りの脆弱性が発見、DoS攻撃のリスクに対応急ぐ

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-23418】OpenHarmony v5.0.2でOut-of-bound...

OpenHarmonyのArkcompiler Ets Runtimeにおいて、Out-of-bounds読み取りの脆弱性(CVE-2025-23418)が発見された。この脆弱性は、ローカル攻撃者によるDoS攻撃を可能にする恐れがあり、v4.1.0からv5.0.2までのバージョンが影響を受ける。CVSSスコアは3.3(Low)と評価されているが、システムの可用性に直接的な影響を与える可能性があるため、早急な対応が推奨される。

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、プリインストールアプリでの任意コード実行の可能性

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、...

OpenHarmonyプロジェクトは2025年3月4日、Communication DsoftbusコンポーネントにUse After Free脆弱性を発見したと発表した。v4.1.0からv5.0.2までのバージョンが影響を受け、プリインストールアプリケーションで任意コード実行の可能性がある。CVSSスコアは3.8でLow評価、攻撃にはローカルでの特権昇格が必要となるため実際の影響は限定的と判断された。

【CVE-2025-20081】OpenHarmony v5.0.2にDsoftbus脆弱性、...

OpenHarmonyプロジェクトは2025年3月4日、Communication DsoftbusコンポーネントにUse After Free脆弱性を発見したと発表した。v4.1.0からv5.0.2までのバージョンが影響を受け、プリインストールアプリケーションで任意コード実行の可能性がある。CVSSスコアは3.8でLow評価、攻撃にはローカルでの特権昇格が必要となるため実際の影響は限定的と判断された。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱性、v5.0.2まで影響の可能性

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-20042】OpenHarmonyのLiteos-Aに境界外読み取りの脆弱...

OpenHarmonyは2025年3月4日、オペレーティングシステムLiteos-Aにおいて境界外読み取りの脆弱性(CVE-2025-20042)を発見したことを公開した。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、CVSSスコアは5.5(中)と評価された。ローカル攻撃者による情報漏洩のリスクが存在し、早急な対応が求められている。

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆弱性が発見、プリインストールアプリに影響

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

【CVE-2025-20626】OpenHarmony v5.0.2以前のバージョンでUAF脆...

OpenHarmonyのArkcompiler Ets Runtimeに存在するUse After Free(UAF)の脆弱性が発見された。この脆弱性はv4.1.0からv5.0.2までのバージョンに影響を与え、プリインストールアプリケーションで任意のコード実行が可能になる。CVSSスコアは3.1と評価され、攻撃には特定の制限された環境が必要となるものの、セキュリティ対策の強化が求められている。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Runtimeに境界外読み取りの脆弱性、v4.1.0からv5.0.2まで影響

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20021】OpenHarmonyのArkcompiler Ets Run...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおいて境界外読み取りの脆弱性を公開した。CVE-2025-20021として識別されるこの脆弱性は、バージョンv4.1.0からv5.0.2まで影響を与え、ローカル環境でのDoS攻撃のリスクが存在する。CVSS v3.1で3.3(LOW)と評価されており、早急な対応が推奨される。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見、Dsoftbusモジュールでメモリ管理に問題

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2025-20011】OpenHarmony v5.0.2でメモリリーク脆弱性を発見...

OpenHarmonyのCommunication Dsoftbusモジュールにメモリリークの脆弱性が発見された。CVE-2025-20011として識別されたこの問題は、v4.1.0からv5.0.2のバージョンに影響を与える。CVSSスコア3.3のLowレベル脆弱性として評価され、ローカル攻撃者によるサービス妨害攻撃の可能性が指摘されている。CWE-401に分類されるこの脆弱性は、メモリの有効期限後の解放が適切に行われないことが原因となっている。

【CVE-2024-13900】WordPressプラグインHead, Footer and Post Injectionsにコード注入の脆弱性、マルチサイト環境で管理者権限による悪用の可能性

【CVE-2024-13900】WordPressプラグインHead, Footer and ...

WordPressプラグイン「Head, Footer and Post Injections」のバージョン3.3.0以前に深刻な脆弱性が発見された。この脆弱性はマルチサイト環境において管理者権限以上のユーザーがPHPコードを不正に注入できる問題で、CVSSスコア4.1(MEDIUM)と評価されている。攻撃が成功した場合、システムの機密性、完全性、可用性に影響を及ぼす可能性があり、早急な更新が推奨される。

【CVE-2024-13900】WordPressプラグインHead, Footer and ...

WordPressプラグイン「Head, Footer and Post Injections」のバージョン3.3.0以前に深刻な脆弱性が発見された。この脆弱性はマルチサイト環境において管理者権限以上のユーザーがPHPコードを不正に注入できる問題で、CVSSスコア4.1(MEDIUM)と評価されている。攻撃が成功した場合、システムの機密性、完全性、可用性に影響を及ぼす可能性があり、早急な更新が推奨される。

【CVE-2024-13582】WordPressプラグインSimple Pricing Tables For WPBakeryに深刻なXSS脆弱性が発見、Contributor権限での攻撃が可能に

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なしでPHPオブジェクトインジェクションが可能に

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...

ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。

【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...

ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。

【CVE-2025-0866】WordPressプラグインLegoeso PDF Managerにおける認証済みユーザーのSQLインジェクション脆弱性、データベースからの情報漏洩のリスクに

【CVE-2025-0866】WordPressプラグインLegoeso PDF Manage...

WordPressプラグインLegoeso PDF Managerのバージョン1.2.2以前に、SQLインジェクションの脆弱性が発見された。checkedValsパラメータの不適切な処理により、Author以上の権限を持つ認証済みユーザーが追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)で、Wordfenceによって報告されたこの脆弱性は、早急な対応が求められている。

【CVE-2025-0866】WordPressプラグインLegoeso PDF Manage...

WordPressプラグインLegoeso PDF Managerのバージョン1.2.2以前に、SQLインジェクションの脆弱性が発見された。checkedValsパラメータの不適切な処理により、Author以上の権限を持つ認証済みユーザーが追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)で、Wordfenceによって報告されたこの脆弱性は、早急な対応が求められている。

【CVE-2024-13235】WordPressプラグインPinpoint Booking Systemに深刻な脆弱性、SQLインジェクションによる情報漏洩のリスクが発生

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前に認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスク

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画像アップロード機能に深刻な問題

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。