Tech Insights

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取りの危険性

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2025-27103】DataEaseの認証バイパス脆弱性が発見、任意ファイル読み取...

オープンソースBIツールDataEaseにおいて、CVE-2024-55953のパッチをバイパスする重大な脆弱性が発見された。CVE-2025-27103として識別されるこの脆弱性により、認証済みユーザーがJDBC接続を通じて任意のファイル読み取りが可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、バージョン2.10.6で修正が実施された。

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切なアクセス制御の脆弱性、認証済みユーザーによる情報アクセスのリスク

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...

Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。

【CVE-2024-2278】Devolutions Server 2024.3.13に不適切...

Devolutions社のDevolutions Server 2024.3.13以前のバージョンにおいて、不適切なアクセス制御の脆弱性が発見された。この脆弱性により、認証済みユーザーが一時アクセス要求やチェックアウト要求のエンドポイントで既知の要求IDを使用して情報にアクセスできる状態となっている。CVSSスコアは6.5(MEDIUM)で、情報の機密性への影響が高いとされている。

【CVE-2025-1635】Devolutions Remote Desktop Managerに認証セッション情報漏洩の脆弱性、バージョン2024.3.29以前のWindows版が影響

【CVE-2025-1635】Devolutions Remote Desktop Manag...

DevolutionsはRemote Desktop Manager 2024.3.29以前のWindows版において、認証済みセッション情報が意図せず漏洩する脆弱性を公開した。CVE-2025-1635として識別されるこの脆弱性は、hubデータソースのエクスポート機能でビジネスロジックの不備により発生。CVSS基本スコアは6.5で中程度の深刻度と評価されており、早急なアップデートが推奨されている。

【CVE-2025-1635】Devolutions Remote Desktop Manag...

DevolutionsはRemote Desktop Manager 2024.3.29以前のWindows版において、認証済みセッション情報が意図せず漏洩する脆弱性を公開した。CVE-2025-1635として識別されるこの脆弱性は、hubデータソースのエクスポート機能でビジネスロジックの不備により発生。CVSS基本スコアは6.5で中程度の深刻度と評価されており、早急なアップデートが推奨されている。

【CVE-2025-28011】PHPGurukul User Registration & Login v3.3にSQLインジェクションの脆弱性、パスワード変更機能に深刻な影響

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-28011】PHPGurukul User Registration & ...

MITREが2025年3月13日に公開したPHPGurukul User Registration & Login and User Management System v3.3の脆弱性情報によると、パスワード変更機能にSQLインジェクションの脆弱性が存在している。CVSSスコアは6.1(MEDIUM)で、攻撃者によるリモートからの任意のコード実行が可能な状態となっている。CISAの評価では技術的影響度が「Automatableレベル」とされており、早急な対応が必要とされている。

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱性、PHPオブジェクトインジェクションの危険性が浮上

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...

WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。

【CVE-2025-1657】WordPressプラグインuListingに認証バイパスの脆弱...

WordPressプラグイン「Directory Listings - uListing」にPHPオブジェクトインジェクションの脆弱性が発見された。バージョン2.1.7以前が影響を受け、Subscriber以上の権限を持つ攻撃者による任意のデータ改ざんが可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が必要とされている。特にAJAXアクションにおける権限チェックの欠如が主な要因となっている。

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深刻な脆弱性、認証不要なXSS攻撃が可能に

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2024-13497】WordPress用プラグインTripetto 8.0.9に深...

WordPressのフォームビルダープラグイン「Tripetto」にStored XSSの脆弱性が発見された。この脆弱性はバージョン8.0.9以前のすべてのバージョンに影響を与えており、認証されていない攻撃者がファイルアップロード機能を介して任意のWebスクリプトを注入可能。CVSSスコアは7.2(High)と評価され、攻撃の複雑さは低く特別な権限も必要としないため、早急な対応が必要となっている。

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、Subscriber権限から管理者権限への昇格が可能に

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...

WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2025-1653】WordPressプラグインuListingに特権昇格の脆弱性、...

WordFenceは2025年3月15日、Directory Listings WordPressプラグイン「uListing」において特権昇格の脆弱性を発見したことを公開した。この脆弱性はバージョン2.1.7以前の全バージョンに存在しており、Subscriber以上の権限を持つ認証済みの攻撃者が管理者権限まで特権を昇格させることが可能となっている。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscriber権限で重要情報にアクセス可能に

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...

WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。

【CVE-2025-2267】WP01プラグインに任意ファイル読み取りの脆弱性、Subscri...

WordPressプラグイン「WP01 - Speed, Security, SEO consultant」のバージョン2.6.2以前に深刻な脆弱性が発見された。権限チェックの欠如とmake_archive関数の制限不足により、Subscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能。CVSSスコア6.5のMEDIUMレベルで、情報漏洩のリスクが指摘されている。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプティングの脆弱性、管理者権限の悪用のリスクに

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆弱性、バージョン0.8.2以前に影響

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

MicrosoftがAzure DevTest LabsのGeneration 2 VMにTrusted Launch機能を実装、多層防御によるセキュリティ強化を実現

MicrosoftがAzure DevTest LabsのGeneration 2 VMにTr...

2025年3月31日、MicrosoftはAzure DevTest LabsのGeneration 2仮想マシン向けにTrusted Launch機能のパブリックプレビューを開始した。Secure Boot、vTPM、VBSなどの技術を統合し、高度な持続的攻撃からVMを保護する多層防御を実現。Microsoft Defender for Cloudとの連携により、不正なコンポーネントの検出と整合性アラートの発行が可能になった。

MicrosoftがAzure DevTest LabsのGeneration 2 VMにTr...

2025年3月31日、MicrosoftはAzure DevTest LabsのGeneration 2仮想マシン向けにTrusted Launch機能のパブリックプレビューを開始した。Secure Boot、vTPM、VBSなどの技術を統合し、高度な持続的攻撃からVMを保護する多層防御を実現。Microsoft Defender for Cloudとの連携により、不正なコンポーネントの検出と整合性アラートの発行が可能になった。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクションの脆弱性、リモートコード実行の危険性が指摘される

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整数アンダーフローによるリモート攻撃のリスクに警戒

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

MicrosoftがWindows 11向けロードマップサイトを開設、開発の透明性向上と機能管理の効率化を実現

MicrosoftがWindows 11向けロードマップサイトを開設、開発の透明性向上と機能管...

米Microsoftは2025年3月28日、Windows 11の改善点や新機能を集約したWebサイト「Windows Roadmap」を開設した。Windows Insider Programでの検証機能からロールアウト中の改善点、一般公開済みの機能まで包括的な情報を提供し、IT管理者の変更管理効率を向上させる。フィルター機能やデバイスタイプごとの機能表示により、必要な情報へのアクセスが容易になった。

MicrosoftがWindows 11向けロードマップサイトを開設、開発の透明性向上と機能管...

米Microsoftは2025年3月28日、Windows 11の改善点や新機能を集約したWebサイト「Windows Roadmap」を開設した。Windows Insider Programでの検証機能からロールアウト中の改善点、一般公開済みの機能まで包括的な情報を提供し、IT管理者の変更管理効率を向上させる。フィルター機能やデバイスタイプごとの機能表示により、必要な情報へのアクセスが容易になった。

MicrosoftがWindows 11 24H2の3月プレビューパッチをリリース、AIを活用した翻訳機能とファイル検索が大幅に進化

MicrosoftがWindows 11 24H2の3月プレビューパッチをリリース、AIを活用...

MicrosoftはWindows 11 24H2向けの3月非セキュリティプレビュー更新プログラム「KB5053656」をリリースした。AMD/Intel搭載のCopilot+ PCで44言語以上に対応したリアルタイム翻訳機能を強化し、Snapdragon搭載PCではセマンティックインデックスによる直感的な検索機能を実現。さらにゲームパッドレイアウトや新しい絵文字パネルも追加され、ユーザビリティが向上している。

MicrosoftがWindows 11 24H2の3月プレビューパッチをリリース、AIを活用...

MicrosoftはWindows 11 24H2向けの3月非セキュリティプレビュー更新プログラム「KB5053656」をリリースした。AMD/Intel搭載のCopilot+ PCで44言語以上に対応したリアルタイム翻訳機能を強化し、Snapdragon搭載PCではセマンティックインデックスによる直感的な検索機能を実現。さらにゲームパッドレイアウトや新しい絵文字パネルも追加され、ユーザビリティが向上している。

楽天コマース&マーケティングコリアが韓国ベストショップアワード2024を発表、ANUA Official楽天市場店が2冠達成

楽天コマース&マーケティングコリアが韓国ベストショップアワード2024を発表、ANUA Off...

楽天グループの楽天コマース&マーケティングコリアが、韓国の事業者が運営する楽天市場の出店店舗を対象とした「Rakuten Ichiba Korea Best Shop Award 2024」を発表した。ANUA Official楽天市場店が1位とRakuten Super DEAL Awardを受賞し、VT Cosmetics楽天市場店は新設のExcellence Honor Awardを獲得。韓国関連商品の流通額は6年で約4.5倍に拡大し、特に韓国コスメは約9.4倍の成長を遂げている。

楽天コマース&マーケティングコリアが韓国ベストショップアワード2024を発表、ANUA Off...

楽天グループの楽天コマース&マーケティングコリアが、韓国の事業者が運営する楽天市場の出店店舗を対象とした「Rakuten Ichiba Korea Best Shop Award 2024」を発表した。ANUA Official楽天市場店が1位とRakuten Super DEAL Awardを受賞し、VT Cosmetics楽天市場店は新設のExcellence Honor Awardを獲得。韓国関連商品の流通額は6年で約4.5倍に拡大し、特に韓国コスメは約9.4倍の成長を遂げている。

デジタルガレージがFindy Team+を導入、開発生産性の可視化と人材育成の強化へ

デジタルガレージがFindy Team+を導入、開発生産性の可視化と人材育成の強化へ

ファインディ株式会社は2025年3月31日、エンジニア組織の開発生産性可視化・向上SaaS「Findy Team+」がデジタルガレージのDG Technology本部に正式導入されたことを発表した。GitHubやJiraの解析による開発アクティビティの可視化や、平均変更行数、コメント数、サイクルタイムなどの指標モニタリングを通じて、開発生産性と開発者体験の向上を目指す。

デジタルガレージがFindy Team+を導入、開発生産性の可視化と人材育成の強化へ

ファインディ株式会社は2025年3月31日、エンジニア組織の開発生産性可視化・向上SaaS「Findy Team+」がデジタルガレージのDG Technology本部に正式導入されたことを発表した。GitHubやJiraの解析による開発アクティビティの可視化や、平均変更行数、コメント数、サイクルタイムなどの指標モニタリングを通じて、開発生産性と開発者体験の向上を目指す。

【CVE-2025-1507】ShareThis Dashboard for Google Analytics 3.2.1に認証バイパスの脆弱性、機能無効化のリスクが発生

【CVE-2025-1507】ShareThis Dashboard for Google A...

WordfenceはWordPress用プラグインShareThis Dashboard for Google Analyticsのバージョン3.2.1以前に存在する認証バイパスの脆弱性を公開した。handle_actions()関数における認証機能の欠落により、未認証の攻撃者が全機能を無効化できる問題が発見された。CVSSスコアは5.3(MEDIUM)と評価され、CWE-862(Missing Authorization)に分類されている。早急な対策が求められる重要な脆弱性事例となっている。

【CVE-2025-1507】ShareThis Dashboard for Google A...

WordfenceはWordPress用プラグインShareThis Dashboard for Google Analyticsのバージョン3.2.1以前に存在する認証バイパスの脆弱性を公開した。handle_actions()関数における認証機能の欠落により、未認証の攻撃者が全機能を無効化できる問題が発見された。CVSSスコアは5.3(MEDIUM)と評価され、CWE-862(Missing Authorization)に分類されている。早急な対策が求められる重要な脆弱性事例となっている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、LinkedInキーの漏洩リスクが発覚

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの脆弱性、管理者権限奪取の危険性

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性、パスワードランダム化の不備で任意のアカウントが危険に

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性...

WordfenceはJob Board & Freelance Marketplace WordPress テーマ「Civi」のバージョン2.1.4以前に認証バイパスの脆弱性が存在することを報告した。GoogleやFacebookを介したシングルサインオン機能においてパスワードのランダム化が適切に行われておらず、未認証の攻撃者が任意のCandidate権限ユーザーのパスワードを変更可能となっている。CVSSではミディアム(5.6)と評価されており、早急な対応が推奨される。

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性...

WordfenceはJob Board & Freelance Marketplace WordPress テーマ「Civi」のバージョン2.1.4以前に認証バイパスの脆弱性が存在することを報告した。GoogleやFacebookを介したシングルサインオン機能においてパスワードのランダム化が適切に行われておらず、未認証の攻撃者が任意のCandidate権限ユーザーのパスワードを変更可能となっている。CVSSではミディアム(5.6)と評価されており、早急な対応が推奨される。

【CVE-2024-13558】NP Quote Request for WooCommerceに未認証での情報漏洩の脆弱性、バージョン1.9.179以前に影響

【CVE-2024-13558】NP Quote Request for WooCommerc...

WordPressプラグイン「NP Quote Request for WooCommerce」にInsecure Direct Object Reference(IDOR)の脆弱性が発見された。バージョン1.9.179以前のすべてのバージョンが影響を受け、未認証の攻撃者が見積もり要求の内容を読み取ることが可能となる。CVSSスコア7.5のHigh深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-13558】NP Quote Request for WooCommerc...

WordPressプラグイン「NP Quote Request for WooCommerce」にInsecure Direct Object Reference(IDOR)の脆弱性が発見された。バージョン1.9.179以前のすべてのバージョンが影響を受け、未認証の攻撃者が見積もり要求の内容を読み取ることが可能となる。CVSSスコア7.5のHigh深刻度と評価されており、早急な対応が推奨される。

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、複数バージョンに影響

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、...

Mattermost社が同社プラットフォームの認可制御の脆弱性を公開。アーカイブされたチャンネルでのブックマーク操作が可能となる脆弱性が発見され、バージョン10.4.x、10.3.x、9.11.x、10.5.xの特定バージョンに影響。CVSSスコア4.3で中程度の深刻度と評価。修正版のリリースにより対策を実施し、セキュリティアップデートページで詳細情報を公開している。

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、...

Mattermost社が同社プラットフォームの認可制御の脆弱性を公開。アーカイブされたチャンネルでのブックマーク操作が可能となる脆弱性が発見され、バージョン10.4.x、10.3.x、9.11.x、10.5.xの特定バージョンに影響。CVSSスコア4.3で中程度の深刻度と評価。修正版のリリースにより対策を実施し、セキュリティアップデートページで詳細情報を公開している。

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオブジェクトインジェクションの脆弱性、認証済みユーザーによる攻撃のリスク

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオ...

WordPressプラグインのProfileGrid – User Profiles, Groups and Communitiesにおいて、バージョン5.9.4.5以前に深刻な脆弱性が発見された。get_user_meta_fields_html関数での信頼できない入力のデシリアライゼーションにより、Subscriber以上の権限を持つユーザーがPHPオブジェクトインジェクション攻撃を実行可能。POPチェーンを含む環境では、任意のファイル削除や機密データの取得、コード実行などのリスクがある。

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオ...

WordPressプラグインのProfileGrid – User Profiles, Groups and Communitiesにおいて、バージョン5.9.4.5以前に深刻な脆弱性が発見された。get_user_meta_fields_html関数での信頼できない入力のデシリアライゼーションにより、Subscriber以上の権限を持つユーザーがPHPオブジェクトインジェクション攻撃を実行可能。POPチェーンを含む環境では、任意のファイル削除や機密データの取得、コード実行などのリスクがある。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパスが可能に

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証機能の欠落、任意の投稿削除とテンプレート作成が可能に

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...

WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...

WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-2649】PHPGurukul Doctor Appointment Systemに深刻な脆弱性、患者データの漏洩リスクが浮上

【CVE-2025-2649】PHPGurukul Doctor Appointment Sy...

医療機関向け予約管理システムPHPGurukul Doctor Appointment System 1.0のcheck-appointment.phpファイルにSQL injection脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。既に攻撃コードが公開されており、患者データの漏洩や改ざんのリスクが高まっている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2649】PHPGurukul Doctor Appointment Sy...

医療機関向け予約管理システムPHPGurukul Doctor Appointment System 1.0のcheck-appointment.phpファイルにSQL injection脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。既に攻撃コードが公開されており、患者データの漏洩や改ざんのリスクが高まっている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2648】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2647】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、緊急対応が必要に

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。