Tech Insights

【CVE-2025-1510】WordPress用プラグインCustom Post Type Date Archivesに認証回避の脆弱性、任意のショートコード実行が可能に

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性、認証不要で悪用可能な状態に

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆弱性、認証済み攻撃者による悪用の可能性

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2024-13469】Pricing Table by PickPluginsにクロスサイトスクリプティングの脆弱性、Contributor以上の権限で悪用可能に

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13716】WordPress用プラグインForex Calculatorsに認証バイパスの脆弱性、Subscriber以上のユーザーによる設定変更が可能に

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2025-1757】WordPress Portfolio Builder – Portfolio Gallery 1.1.7にクロスサイトスクリプティングの脆弱性、認証済みユーザーからの攻

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1.7.4.2に格納型XSSの脆弱性、管理者権限での攻撃に注意

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権昇格の脆弱性、管理者アカウント乗っ取りのリスク

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1511】WordPressプラグインUser Registration 4.0.4に深刻な脆弱性、クロスサイトスクリプティング攻撃が可能に

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトインジェクションの脆弱性、管理者権限で深刻な影響の可能性

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。

【CVE-2024-13832】Ultra Addons Lite for Elementorに認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスクが発生

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による再帰的クローリングが可能に

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパラメータに深刻な影響

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、セキュアブート保護のバイパスの可能性

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しないコンテンツ表示の危険性が明らかに

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカルな評価でセキュリティ対策が急務に

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前に深刻な影響

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1903】Codezips Online Shopping Website 1.0にSQLインジェクション脆弱性、深刻度が高レベルに

【CVE-2025-1903】Codezips Online Shopping Website...

Codezips Online Shopping Website 1.0のcart_add.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1903として識別されるこの脆弱性は、id引数の操作により攻撃が可能で、CVSSスコアは最大7.5を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。影響を受けるバージョンはCodezips Online Shopping Website 1.0で、脆弱性の種類はSQLインジェクションとインジェクションに分類される。

【CVE-2025-1903】Codezips Online Shopping Website...

Codezips Online Shopping Website 1.0のcart_add.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1903として識別されるこの脆弱性は、id引数の操作により攻撃が可能で、CVSSスコアは最大7.5を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。影響を受けるバージョンはCodezips Online Shopping Website 1.0で、脆弱性の種類はSQLインジェクションとインジェクションに分類される。

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULLポインタ参照の脆弱性が発見、システムの安定性に影響の可能性

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。

【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。

【CVE-2025-1900】PHPGurukul Restaurant Table Booking System 1.0にSQL injection脆弱性が発見、遠隔攻撃のリスクが深刻化

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1900】PHPGurukul Restaurant Table Book...

PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。

【CVE-2025-1898】Tenda TX3に重大な脆弱性、バッファオーバーフローによる遠隔攻撃のリスクが発覚

【CVE-2025-1898】Tenda TX3に重大な脆弱性、バッファオーバーフローによる遠...

Tenda TX3 16.03.13.11_multiにおいて、/goform/openSchedWifiファイルに関連する重大な脆弱性が発見された。schedStartTimeおよびschedEndTimeパラメータの操作によってバッファオーバーフローが発生する可能性があり、CVSS 4.0で7.1のハイリスクと評価されている。リモートからの攻撃が可能で、既に詳細が公開されているため、早急な対応が求められている。

【CVE-2025-1898】Tenda TX3に重大な脆弱性、バッファオーバーフローによる遠...

Tenda TX3 16.03.13.11_multiにおいて、/goform/openSchedWifiファイルに関連する重大な脆弱性が発見された。schedStartTimeおよびschedEndTimeパラメータの操作によってバッファオーバーフローが発生する可能性があり、CVSS 4.0で7.1のハイリスクと評価されている。リモートからの攻撃が可能で、既に詳細が公開されているため、早急な対応が求められている。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...

WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆弱性、複数バージョンで修正が必要に

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...

dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。

【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...

dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェクションの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

【CVE-2025-2132】ftcms 2.1のSearchコンポーネントにSQLインジェク...

ftcms 2.1のSearchコンポーネントにおいて、/admin/index.php/web/ajax_all_listsファイル内の未特定の機能でSQLインジェクションの脆弱性が発見された。CVSS 4.0でスコア5.1(MEDIUM)と評価され、リモートからの攻撃が可能な状態となっている。ベンダーは報告に対して未対応のため、早急なセキュリティパッチの提供が望まれる。

Windows 11 Insider Preview Build 26120.3380が公開、File Explorer機能とリアルタイム翻訳機能が大幅に進化

Windows 11 Insider Preview Build 26120.3380が公開、...

MicrosoftがWindows 11 Insider Preview Build 26120.3380を公開。File Explorer Homeに推奨ファイル表示機能を追加し、AMD・Intel搭載Copilot+ PCで中国語を含む25言語以上のリアルタイム翻訳に対応。さらにウェブ開発者向けのウィジェット開発機能も導入され、Windows 11の機能性が大幅に向上。DevチャネルとBetaチャネルのユーザーが利用可能となっている。

Windows 11 Insider Preview Build 26120.3380が公開、...

MicrosoftがWindows 11 Insider Preview Build 26120.3380を公開。File Explorer Homeに推奨ファイル表示機能を追加し、AMD・Intel搭載Copilot+ PCで中国語を含む25言語以上のリアルタイム翻訳に対応。さらにウェブ開発者向けのウィジェット開発機能も導入され、Windows 11の機能性が大幅に向上。DevチャネルとBetaチャネルのユーザーが利用可能となっている。