Tech Insights
【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...
WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。
【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...
WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。
【CVE-2024-13431】Simply Schedule Appointmentsにクロ...
WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。
【CVE-2024-13431】Simply Schedule Appointmentsにクロ...
WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。
Windows 11ビルド22631.5116がプレビューチャネルで公開、アクセシビリティとU...
Windows Insider Programチームが2025年3月13日にWindows 11ビルド22631.5116をRelease Previewチャネルで公開した。File Explorerのテキストスケーリング強化やゲームパッドキーボードレイアウトの導入、タスクマネージャーのCPU使用率計算方法の標準化など、アクセシビリティとUI操作性の改善が実施された。
Windows 11ビルド22631.5116がプレビューチャネルで公開、アクセシビリティとU...
Windows Insider Programチームが2025年3月13日にWindows 11ビルド22631.5116をRelease Previewチャネルで公開した。File Explorerのテキストスケーリング強化やゲームパッドキーボードレイアウトの導入、タスクマネージャーのCPU使用率計算方法の標準化など、アクセシビリティとUI操作性の改善が実施された。
ProtenumがEC運営代行の月額30万円パックをリリース、楽天市場での売上向上を包括的に支援
株式会社Protenum(プロテーナム)は、楽天市場のコンサルティングおよび運営代行において、月額30万円の完全固定費プランを開始した。データ分析、戦略策定、広告運用、画像制作、セール対応など、売上向上に必要な施策を網羅的に提供する。新プランのリリースに伴い、通常月5件限定のECサイト無料診断を先着30社まで拡大して実施することも決定している。
ProtenumがEC運営代行の月額30万円パックをリリース、楽天市場での売上向上を包括的に支援
株式会社Protenum(プロテーナム)は、楽天市場のコンサルティングおよび運営代行において、月額30万円の完全固定費プランを開始した。データ分析、戦略策定、広告運用、画像制作、セール対応など、売上向上に必要な施策を網羅的に提供する。新プランのリリースに伴い、通常月5件限定のECサイト無料診断を先着30社まで拡大して実施することも決定している。
【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...
WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。
【CVE-2024-13905】OneStore Sites 0.1.1以前のバージョンでSS...
WordPressプラグインOneStore Sitesにおいて、バージョン0.1.1以前に深刻なサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。未認証の攻撃者がclass-export.phpファイルを介して任意の場所へのWebリクエストを実行でき、内部サービスの情報を照会・改変することが可能。CVSSスコアは5.3でMedium(中程度)の深刻度に分類されており、早急な対応が推奨される。
【CVE-2024-13734】Card Elements for Elementor 1.2...
WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。
【CVE-2024-13734】Card Elements for Elementor 1.2...
WordPressプラグイン「Card Elements for Elementor」のバージョン1.2.6以前にXSS脆弱性が発見された。Profile Card Widgetにおけるユーザー入力の検証不足が原因で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で、機密性と完全性への影響が想定される。早急なアップデートが推奨される。
【CVE-2025-1282】Car Dealer Automotive WordPress ...
WordFenceがCar Dealer Automotive WordPress Themeの重大な脆弱性を発見した。この脆弱性はバージョン1.6.3以前に影響し、認証済みSubscriber以上のユーザーが任意のファイル削除とファイル読み取りを実行可能。特にwp-config.phpの削除によるリモートコード実行の危険性が指摘されており、CVSSスコア8.8と高い深刻度が報告されている。
【CVE-2025-1282】Car Dealer Automotive WordPress ...
WordFenceがCar Dealer Automotive WordPress Themeの重大な脆弱性を発見した。この脆弱性はバージョン1.6.3以前に影響し、認証済みSubscriber以上のユーザーが任意のファイル削除とファイル読み取りを実行可能。特にwp-config.phpの削除によるリモートコード実行の危険性が指摘されており、CVSSスコア8.8と高い深刻度が報告されている。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-1874】101newsにSQLインジェクションの脆弱性、管理機能に深刻な...
Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0において重大な脆弱性を発見した。管理画面のカテゴリー追加機能のdescriptionパラメータにSQLインジェクションの脆弱性が存在し、CVSSスコア9.3のクリティカルと評価された。認証不要でリモートから攻撃可能で、機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある。
【CVE-2025-2084】PHPGurukul HMPVテストシステムにXSS脆弱性、医療...
PHPGurukulのHuman Metapneumovirus Testing Management System 1.0にクロスサイトスクリプティングの脆弱性が発見された。search-report.phpファイルに影響し、CVSSスコア5.1のMedium評価。リモートからの攻撃が可能で、exploit情報も公開されている状態。医療データを扱うシステムだけに、早急な対応が求められる事態となっている。
【CVE-2025-2084】PHPGurukul HMPVテストシステムにXSS脆弱性、医療...
PHPGurukulのHuman Metapneumovirus Testing Management System 1.0にクロスサイトスクリプティングの脆弱性が発見された。search-report.phpファイルに影響し、CVSSスコア5.1のMedium評価。リモートからの攻撃が可能で、exploit情報も公開されている状態。医療データを扱うシステムだけに、早急な対応が求められる事態となっている。
【CVE-2025-27840】ESP32チップに29個の隠しコマンドが発覚、IoTデバイスの...
Espressif社のESP32チップに29個の非公開HCIコマンドが存在することが判明し、CVE-2025-27840として報告された。メモリ書き込みを可能にする0xFC02など強力なコマンドの存在が確認され、CVSSスコア6.8(MEDIUM)に分類される。物理アクセスが必要で攻撃の複雑さは高いものの、特権レベルが高くユーザー関与なしで実行可能という特徴を持つ。IoTデバイスのセキュリティに広範な影響を与える可能性がある。
【CVE-2025-27840】ESP32チップに29個の隠しコマンドが発覚、IoTデバイスの...
Espressif社のESP32チップに29個の非公開HCIコマンドが存在することが判明し、CVE-2025-27840として報告された。メモリ書き込みを可能にする0xFC02など強力なコマンドの存在が確認され、CVSSスコア6.8(MEDIUM)に分類される。物理アクセスが必要で攻撃の複雑さは高いものの、特権レベルが高くユーザー関与なしで実行可能という特徴を持つ。IoTデバイスのセキュリティに広範な影響を与える可能性がある。
【CVE-2025-1323】WP-Recallプラグインに深刻なSQLインジェクション脆弱性...
WordPressプラグイン「WP-Recall」にSQLインジェクションの脆弱性が発見され、CVE-2025-1323として公開された。バージョン16.26.10以前の全バージョンが影響を受け、認証不要で悪用可能な状態となっている。CVSSスコアは7.5(High)と評価され、データベースからの機密情報抽出が可能な深刻な脆弱性であり、早急な対応が必要とされている。
【CVE-2025-1323】WP-Recallプラグインに深刻なSQLインジェクション脆弱性...
WordPressプラグイン「WP-Recall」にSQLインジェクションの脆弱性が発見され、CVE-2025-1323として公開された。バージョン16.26.10以前の全バージョンが影響を受け、認証不要で悪用可能な状態となっている。CVSSスコアは7.5(High)と評価され、データベースからの機密情報抽出が可能な深刻な脆弱性であり、早急な対応が必要とされている。
【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...
WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。
【CVE-2025-1481】WordPressプラグインShortcode Cleaner ...
WordPressプラグインShortcode Cleaner Liteにおいて、認証不備による脆弱性が発見された。1.0.9以前の全バージョンで、download_backup()関数の権限チェック欠如により、Subscriber以上の権限を持つユーザーが任意のオプションをエクスポート可能。CVSS v3.1で評価値6.5(中)とされ、ネットワーク経由での攻撃が可能だが、影響範囲は限定的とされている。
【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...
WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。
【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...
WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。
【CVE-2024-13895】WordPressプラグインCode Snippets CPT...
WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
【CVE-2024-13895】WordPressプラグインCode Snippets CPT...
WordPressプラグインCode Snippets CPTにおいて、バージョン2.1.0以前の全バージョンに任意のショートコード実行の脆弱性が発見された。CVE-2024-13895として識別されるこの脆弱性は、Subscriber以上の権限を持つ認証済みユーザーが任意のショートコードを実行可能な状態にあり、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。
セルシスがCLIP STUDIO PAINT v4.0をリリース、イラスト制作ソフトの新機能と...
セルシスは2025年3月12日、イラスト・マンガ制作ソフト「CLIP STUDIO PAINT」の最新版v4.0をリリースした。PROグレードとEXグレードの2種類を展開し、それぞれ無期限版と年額・月額プランを用意。パペット変形機能や3D機能の強化など、制作効率を向上させる新機能を多数搭載している。ダウンロード版の無期限版はPROグレードが6,400円、EXグレードが26,900円で提供される。
セルシスがCLIP STUDIO PAINT v4.0をリリース、イラスト制作ソフトの新機能と...
セルシスは2025年3月12日、イラスト・マンガ制作ソフト「CLIP STUDIO PAINT」の最新版v4.0をリリースした。PROグレードとEXグレードの2種類を展開し、それぞれ無期限版と年額・月額プランを用意。パペット変形機能や3D機能の強化など、制作効率を向上させる新機能を多数搭載している。ダウンロード版の無期限版はPROグレードが6,400円、EXグレードが26,900円で提供される。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
OpenAIがChatGPT for Macに新機能を追加、XcodeやVSCodeと連携して...
OpenAIは、MacOS向けChatGPT for Macの最新バージョン1.2025.057において、XcodeやVisual Studio Codeなどの主要なコーディングツールと連携する新機能を発表した。開発者はChatGPTを通じてIDEやエディタ内のコードを直接読み取り編集することが可能となり、複数のアプリケーション間でシームレスな開発環境が実現する。この機能強化により、開発効率の大幅な向上が期待される。
LegalOn Technologiesがコーポレート向けオンラインセミナーを開催、最新トレン...
株式会社LegalOn Technologiesは2025年3月27日にオンラインセミナー「Corporate×Technology FES 2025 Spring」を開催する。Momentorと株式会社リビカルの代表取締役による基調講演では、人材育成や組織マネジメント、DX推進における業務プロセス改善について解説。また、DeepLとの連携による英文契約・国際業務の効率化についても紹介される予定だ。
LegalOn Technologiesがコーポレート向けオンラインセミナーを開催、最新トレン...
株式会社LegalOn Technologiesは2025年3月27日にオンラインセミナー「Corporate×Technology FES 2025 Spring」を開催する。Momentorと株式会社リビカルの代表取締役による基調講演では、人材育成や組織マネジメント、DX推進における業務プロセス改善について解説。また、DeepLとの連携による英文契約・国際業務の効率化についても紹介される予定だ。
LAPRASがエンジニアスキル可視化ツールLAPRASスコアv2.2をリリース、生成AIによる...
LAPRAS株式会社がITエンジニアの技術力を可視化する「LAPRASスコア」をバージョン2.2にアップデートした。生成AIが技術記事を評価する「AIレビュー」機能を実装し、論理性、実用性、読みやすさ、独自性、明確性の5つの観点から記事を評価。これにより、従来のいいね数だけでは測れなかった記事の質的価値を技術力スコアに反映することが可能になった。
LAPRASがエンジニアスキル可視化ツールLAPRASスコアv2.2をリリース、生成AIによる...
LAPRAS株式会社がITエンジニアの技術力を可視化する「LAPRASスコア」をバージョン2.2にアップデートした。生成AIが技術記事を評価する「AIレビュー」機能を実装し、論理性、実用性、読みやすさ、独自性、明確性の5つの観点から記事を評価。これにより、従来のいいね数だけでは測れなかった記事の質的価値を技術力スコアに反映することが可能になった。
オルツが日本語LLMインストラクションデータサービスを開始、グローバルAI企業の日本市場展開を...
オルツは2025年3月13日より、大規模言語モデル開発企業向けに日本語LLMインストラクションデータサービスの提供を開始する。GENIACに採択され世界最高性能の日本語言語処理技術を研究開発しており、軽量大規模言語モデルLHTM-OPT2では日本語RAGで世界最高精度を達成している。APTO社との業務提携により、高品質な日本語インストラクションデータの提供とグローバル展開を目指す。
オルツが日本語LLMインストラクションデータサービスを開始、グローバルAI企業の日本市場展開を...
オルツは2025年3月13日より、大規模言語モデル開発企業向けに日本語LLMインストラクションデータサービスの提供を開始する。GENIACに採択され世界最高性能の日本語言語処理技術を研究開発しており、軽量大規模言語モデルLHTM-OPT2では日本語RAGで世界最高精度を達成している。APTO社との業務提携により、高品質な日本語インストラクションデータの提供とグローバル展開を目指す。
ゼンアーキテクツが新クラウド開発環境ZEN Dev Cloudをリリース、生成AI活用の新ビジ...
株式会社ゼンアーキテクツは、AzureとGitHub Enterpriseを統合した新しい開発環境「ZEN Dev Cloud」を発表した。クラウドインフラからコード管理、CI/CDパイプライン、専門家による技術支援までをワンストップで提供し、企業のDX推進を強力にサポート。GitHub Enterprise Cloudの1シート単位従量課金制や、Azure OpenAI Serviceの活用により、生成AIを活用した新ビジネスの立ち上げや検証に最適な環境を実現した。
ゼンアーキテクツが新クラウド開発環境ZEN Dev Cloudをリリース、生成AI活用の新ビジ...
株式会社ゼンアーキテクツは、AzureとGitHub Enterpriseを統合した新しい開発環境「ZEN Dev Cloud」を発表した。クラウドインフラからコード管理、CI/CDパイプライン、専門家による技術支援までをワンストップで提供し、企業のDX推進を強力にサポート。GitHub Enterprise Cloudの1シート単位従量課金制や、Azure OpenAI Serviceの活用により、生成AIを活用した新ビジネスの立ち上げや検証に最適な環境を実現した。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2024-13679】WordPress用Widget BUY.BOXプラグインにX...
WordPressプラグインWidget BUY.BOXにおいて、バージョン3.1.5以前に深刻な格納型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13679として識別されるこの脆弱性は、プラグインのbuybox-widgetショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、CVSSスコア6.4の中程度の深刻度と評価されている。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。
【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...
WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。
【CVE-2024-13481】WordPress用プラグインLTL Freight Quot...
WordPressプラグイン「LTL Freight Quotes – R+L Carriers Edition」のバージョン3.3.4以前にSQLインジェクションの脆弱性が発見された。認証不要でデータベースの情報を抽出可能な深刻な脆弱性であり、CVSSスコアは7.5(High)と評価されている。「edit_id」および「dropship_edit_id」パラメータの不適切な処理が原因で、早急な対応が必要となっている。
【CVE-2024-13748】Ultimate Classified Listings 1....
WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。
【CVE-2024-13748】Ultimate Classified Listings 1....
WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。
【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...
WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。
【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...
WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。
【CVE-2025-1406】WordPressプラグインNewpost Catchに深刻な脆...
WordPressプラグインNewpost Catchのバージョン1.3.19以前に、投稿者以上の権限を持つユーザーが悪用可能なクロスサイトスクリプティングの脆弱性が発見された。npcショートコードを介して任意のスクリプトを埋め込むことが可能で、CVSSスコアは6.4(MEDIUM)と評価されている。早急なアップデートによる対策が推奨される。
【CVE-2025-1406】WordPressプラグインNewpost Catchに深刻な脆...
WordPressプラグインNewpost Catchのバージョン1.3.19以前に、投稿者以上の権限を持つユーザーが悪用可能なクロスサイトスクリプティングの脆弱性が発見された。npcショートコードを介して任意のスクリプトを埋め込むことが可能で、CVSSスコアは6.4(MEDIUM)と評価されている。早急なアップデートによる対策が推奨される。
【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...
WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。
【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...
WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。
【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...
WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。
【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...
WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。
【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...
WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。
【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...
WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。