Tech Insights

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンでCSRF脆弱性が発見、早急なアップデートが必要に

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンで...

Benner ModernaNetのDadosPessoais/SG_Gravarファイルにおいて、引数idItAgの操作によるクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア5.3(MEDIUM)で、影響を受けるバージョンは1.0から1.2.0まで。対策としてバージョン1.2.1へのアップグレードが推奨されている。認証の欠如と組み合わさることで、不正な操作が可能となる可能性がある。

【CVE-2025-1644】Benner ModernaNet 1.2.0以下のバージョンで...

Benner ModernaNetのDadosPessoais/SG_Gravarファイルにおいて、引数idItAgの操作によるクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVSSスコア5.3(MEDIUM)で、影響を受けるバージョンは1.0から1.2.0まで。対策としてバージョン1.2.1へのアップグレードが推奨されている。認証の欠如と組み合わさることで、不正な操作が可能となる可能性がある。

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に深刻な脆弱性、未認証でのファイル操作が可能に

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に...

WordfenceがWordPress用プラグインEverest Formsの重大な脆弱性を公開。バージョン3.0.9.4以前において、EVF_Form_Fields_Uploadクラスのformatメソッドにファイルタイプとパスの検証が不十分な問題が発見された。未認証での任意のファイル操作が可能となり、リモートコード実行や情報漏洩のリスクが指摘されている。CVSSスコア9.8のクリティカルな脆弱性として評価された。

【CVE-2025-1128】WordPress用Everest Forms 3.0.9.4に...

WordfenceがWordPress用プラグインEverest Formsの重大な脆弱性を公開。バージョン3.0.9.4以前において、EVF_Form_Fields_Uploadクラスのformatメソッドにファイルタイプとパスの検証が不十分な問題が発見された。未認証での任意のファイル操作が可能となり、リモートコード実行や情報漏洩のリスクが指摘されている。CVSSスコア9.8のクリティカルな脆弱性として評価された。

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性、バージョン2.7.12などで修正完了

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性...

CombodoのWebベースITサービス管理ツールiTopにおいて、バージョン2.7.12、3.1.2、3.2.0より前のバージョンにクロスサイトスクリプティングの脆弱性が存在することが判明。プリファレンスページを開いた際に発生する可能性があり、CVSS v3.1で深刻度6.8(Medium)と評価。最新バージョンへのアップデートで対策可能。

【CVE-2025-27139】CombodoのiTopにクロスサイトスクリプティングの脆弱性...

CombodoのWebベースITサービス管理ツールiTopにおいて、バージョン2.7.12、3.1.2、3.2.0より前のバージョンにクロスサイトスクリプティングの脆弱性が存在することが判明。プリファレンスページを開いた際に発生する可能性があり、CVSS v3.1で深刻度6.8(Medium)と評価。最新バージョンへのアップデートで対策可能。

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、重大な影響でアップデート推奨

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、...

ModSecurity v3プロジェクトのLibmodsecurity3 3.0.13において、先頭にゼロを含むHTML実体をデコードできない重大な脆弱性が発見された。CVSSスコア7.9(HIGH)と評価される本脆弱性は、特別な権限なしにネットワーク経由での攻撃が可能で、早急な対応が必要とされている。修正版となるバージョン3.0.14が提供されており、システム管理者は速やかなアップデートを検討すべき状況だ。

【CVE-2025-27110】Libmodsecurity3にHTML実体デコードの脆弱性、...

ModSecurity v3プロジェクトのLibmodsecurity3 3.0.13において、先頭にゼロを含むHTML実体をデコードできない重大な脆弱性が発見された。CVSSスコア7.9(HIGH)と評価される本脆弱性は、特別な権限なしにネットワーク経由での攻撃が可能で、早急な対応が必要とされている。修正版となるバージョン3.0.14が提供されており、システム管理者は速やかなアップデートを検討すべき状況だ。

アリススタイルがAIレビュー解析による新評価システムを発表、シェアリングサービスの信頼性向上へ

アリススタイルがAIレビュー解析による新評価システムを発表、シェアリングサービスの信頼性向上へ

シェアリングプラットフォームを提供するアリススタイルは、2025年春より定額制サービス「アリスプライム」にAIを活用した新しい商品評価システムを導入する。数十万件のレビューデータをAIが解析し、総合評価スコアの算出や長所・短所の自動抽出、個別レコメンド機能を提供。OEMサービスにも展開し、より多くのユーザーに信頼性の高い購買支援を提供する。

アリススタイルがAIレビュー解析による新評価システムを発表、シェアリングサービスの信頼性向上へ

シェアリングプラットフォームを提供するアリススタイルは、2025年春より定額制サービス「アリスプライム」にAIを活用した新しい商品評価システムを導入する。数十万件のレビューデータをAIが解析し、総合評価スコアの算出や長所・短所の自動抽出、個別レコメンド機能を提供。OEMサービスにも展開し、より多くのユーザーに信頼性の高い購買支援を提供する。

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロー脆弱性、任意のコード実行の危険性が浮上

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロ...

Adobe InDesign DesktopのバージョンID20.0、ID19.5.1およびそれ以前のバージョンに整数アンダーフロー脆弱性が発見された。CVE-2025-21158として識別されるこの脆弱性は、CVSS v3.1で7.8の高リスクと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてで高レベルとされている。

【CVE-2025-21158】Adobe InDesign Desktopに整数アンダーフロ...

Adobe InDesign DesktopのバージョンID20.0、ID19.5.1およびそれ以前のバージョンに整数アンダーフロー脆弱性が発見された。CVE-2025-21158として識別されるこの脆弱性は、CVSS v3.1で7.8の高リスクと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行できる可能性がある。影響範囲は機密性、整合性、可用性のすべてで高レベルとされている。

【CVE-2025-21125】InDesign DesktopにNULL Pointer Dereferenceの脆弱性、アプリケーションのクラッシュのリスクが判明

【CVE-2025-21125】InDesign DesktopにNULL Pointer D...

Adobe社のInDesign Desktop(ID20.0、ID19.5.1以前)にNULL Pointer Dereferenceの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くことでアプリケーションがクラッシュする可能性がある。攻撃には特権は不要だが、ローカルアクセスとユーザー操作が必要となる。信頼できない送信元からのファイルを開かないよう注意が必要。

【CVE-2025-21125】InDesign DesktopにNULL Pointer D...

Adobe社のInDesign Desktop(ID20.0、ID19.5.1以前)にNULL Pointer Dereferenceの脆弱性が発見された。CVSSスコア5.5の中程度の脆弱性で、悪意のあるファイルを開くことでアプリケーションがクラッシュする可能性がある。攻撃には特権は不要だが、ローカルアクセスとユーザー操作が必要となる。信頼できない送信元からのファイルを開かないよう注意が必要。

【CVE-2025-1168】SourceCodester Contact Manager with Export to VCFにSQLインジェクションの脆弱性、リモート攻撃のリスクが発生

【CVE-2025-1168】SourceCodester Contact Manager w...

SourceCodester社のContact Manager with Export to VCF 1.0において、delete-contact.phpファイルに重大な脆弱性が発見された。SQLインジェクション攻撃が可能となるこの脆弱性は、リモートから攻撃可能でCVSS v4.0で5.3(MEDIUM)と評価されている。既に公開されており、実際の攻撃に使用される可能性があるため、早急な対策が求められる。

【CVE-2025-1168】SourceCodester Contact Manager w...

SourceCodester社のContact Manager with Export to VCF 1.0において、delete-contact.phpファイルに重大な脆弱性が発見された。SQLインジェクション攻撃が可能となるこの脆弱性は、リモートから攻撃可能でCVSS v4.0で5.3(MEDIUM)と評価されている。既に公開されており、実際の攻撃に使用される可能性があるため、早急な対策が求められる。

【CVE-2025-1173】1000 Projects Bookstore Management Systemにおける重大な脆弱性が発見、SQLインジェクション攻撃のリスクに警戒必要

【CVE-2025-1173】1000 Projects Bookstore Manageme...

1000 Projects Bookstore Management System 1.0のprocess_users_del.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2025-1173として識別されるこの脆弱性は、CVSS 4.0で5.1点、CVSS 3.1で4.7点と評価され、リモートからの攻撃が可能であることが判明。高い権限レベルが必要とされるものの、攻撃条件の複雑さは低く、早急な対策が求められている。

【CVE-2025-1173】1000 Projects Bookstore Manageme...

1000 Projects Bookstore Management System 1.0のprocess_users_del.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVE-2025-1173として識別されるこの脆弱性は、CVSS 4.0で5.1点、CVSS 3.1で4.7点と評価され、リモートからの攻撃が可能であることが判明。高い権限レベルが必要とされるものの、攻撃条件の複雑さは低く、早急な対策が求められている。

【CVE-2024-13437】WordPressプラグインBook a Room 2.9にCSRF脆弱性、管理者権限で設定変更が可能な状態に

【CVE-2024-13437】WordPressプラグインBook a Room 2.9にC...

WordPressプラグインのBook a Roomにおいて、バージョン2.9までのすべてのバージョンでCross-Site Request Forgeryの脆弱性が発見された。この脆弱性はCVE-2024-13437として識別され、CVSSスコア4.3(MEDIUM)と評価されている。攻撃者が管理者を騙して特定のアクションを実行させることで、プラグインの設定を変更できる状態となっており、早急な対応が求められている。

【CVE-2024-13437】WordPressプラグインBook a Room 2.9にC...

WordPressプラグインのBook a Roomにおいて、バージョン2.9までのすべてのバージョンでCross-Site Request Forgeryの脆弱性が発見された。この脆弱性はCVE-2024-13437として識別され、CVSSスコア4.3(MEDIUM)と評価されている。攻撃者が管理者を騙して特定のアクションを実行させることで、プラグインの設定を変更できる状態となっており、早急な対応が求められている。

【CVE-2024-13456】WordPress用プラグインEasy Quiz Maker 2.0にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2024-13456】WordPress用プラグインEasy Quiz Maker ...

WordFenceは2025年2月12日、WordPress用プラグイン「Easy Quiz Maker」のバージョン2.0以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、wqt-questionショートコードを介して任意のスクリプトを注入することが可能となっている。CVSSスコアは6.4(中)と評価されている。

【CVE-2024-13456】WordPress用プラグインEasy Quiz Maker ...

WordFenceは2025年2月12日、WordPress用プラグイン「Easy Quiz Maker」のバージョン2.0以前に存在するクロスサイトスクリプティング(XSS)の脆弱性を公開した。この脆弱性はContributor以上の権限を持つユーザーによって悪用される可能性があり、wqt-questionショートコードを介して任意のスクリプトを注入することが可能となっている。CVSSスコアは6.4(中)と評価されている。

【CVE-2024-13656】Click Magテーマ3.6.0以前に認証バイパスの脆弱性、サービス妨害の危険性が明らかに

【CVE-2024-13656】Click Magテーマ3.6.0以前に認証バイパスの脆弱性、...

WordPressのニュースマガジン・ブログテーマ「Click Mag」のバージョン3.6.0以前に重大な認証バイパスの脆弱性が発見された。propanel_of_ajax_callback()関数の認可チェック欠如により、Subscriber権限のユーザーでも任意のオプション値を削除可能になり、サービス妨害攻撃のリスクが発生。CVSS評価は8.1(High)で、早急な対応が必要とされている。

【CVE-2024-13656】Click Magテーマ3.6.0以前に認証バイパスの脆弱性、...

WordPressのニュースマガジン・ブログテーマ「Click Mag」のバージョン3.6.0以前に重大な認証バイパスの脆弱性が発見された。propanel_of_ajax_callback()関数の認可チェック欠如により、Subscriber権限のユーザーでも任意のオプション値を削除可能になり、サービス妨害攻撃のリスクが発生。CVSS評価は8.1(High)で、早急な対応が必要とされている。

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前にXSS脆弱性、Contributor権限で任意スクリプト実行の可能性

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前に...

WordPressプラグインのNGG Smart Image Searchにおいて、バージョン3.2.1以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした一般ユーザーのブラウザ上でスクリプトが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-13658】NGG Smart Image Search 3.2.1以前に...

WordPressプラグインのNGG Smart Image Searchにおいて、バージョン3.2.1以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした一般ユーザーのブラウザ上でスクリプトが実行される可能性があり、早急な対応が必要とされている。

【CVE-2025-26520】Cacti 1.2.29にSQLインジェクションの脆弱性、過去の修正の不備で新たな問題が発生

【CVE-2025-26520】Cacti 1.2.29にSQLインジェクションの脆弱性、過去...

MITREが2025年2月12日、Cacti 1.2.29以前のバージョンにSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア7.6のハイリスクと評価されており、host_templates.phpのテンプレート機能におけるgraph_templateパラメータの処理に問題がある。この脆弱性は過去のCVE-2024-54146の不完全な修正により発生しており、GitHubのプルリクエスト#6096で対応が進められている。

【CVE-2025-26520】Cacti 1.2.29にSQLインジェクションの脆弱性、過去...

MITREが2025年2月12日、Cacti 1.2.29以前のバージョンにSQLインジェクションの脆弱性が存在することを公開した。CVSSスコア7.6のハイリスクと評価されており、host_templates.phpのテンプレート機能におけるgraph_templateパラメータの処理に問題がある。この脆弱性は過去のCVE-2024-54146の不完全な修正により発生しており、GitHubのプルリクエスト#6096で対応が進められている。

【CVE-2024-13513】WooCommerce POSプラグインに重大な脆弱性、未認証攻撃者によるサイト乗っ取りの危険性が発覚

【CVE-2024-13513】WooCommerce POSプラグインに重大な脆弱性、未認証...

WordPressのOliver POS WooCommerce POSプラグインにおいて、バージョン2.4.2.3以前に重大な脆弱性が発見された。未認証の攻撃者がログ機能を通じてclientTokenを取得し、ユーザーアカウント情報の改ざんやパスワード変更が可能となる。CVSSスコア9.8のクリティカルな脆弱性であり、サイト全体の乗っ取りにつながる可能性がある。既存のログファイルを持つサイトは特に注意が必要だ。

【CVE-2024-13513】WooCommerce POSプラグインに重大な脆弱性、未認証...

WordPressのOliver POS WooCommerce POSプラグインにおいて、バージョン2.4.2.3以前に重大な脆弱性が発見された。未認証の攻撃者がログ機能を通じてclientTokenを取得し、ユーザーアカウント情報の改ざんやパスワード変更が可能となる。CVSSスコア9.8のクリティカルな脆弱性であり、サイト全体の乗っ取りにつながる可能性がある。既存のログファイルを持つサイトは特に注意が必要だ。

【CVE-2025-1328】WordPress用Typed JSプラグインに深刻な脆弱性、バージョン1.2.0以前のユーザーに影響

【CVE-2025-1328】WordPress用Typed JSプラグインに深刻な脆弱性、バ...

WordPressプラグイン「Typed JS」にStored XSSの脆弱性が発見された。バージョン1.2.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト注入が可能となっている。CVSSスコアは6.4でMEDIUMレベルの深刻度と評価され、早急な対応が求められている。

【CVE-2025-1328】WordPress用Typed JSプラグインに深刻な脆弱性、バ...

WordPressプラグイン「Typed JS」にStored XSSの脆弱性が発見された。バージョン1.2.0以前が影響を受け、Contributor以上の権限を持つユーザーによる悪意のあるスクリプト注入が可能となっている。CVSSスコアは6.4でMEDIUMレベルの深刻度と評価され、早急な対応が求められている。

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS脆弱性が発見、Contributor権限で悪用可能に

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS...

WordPressプラグイン「Mini Course Generator」のバージョン1.0.5以前に、ストアドXSS脆弱性が発見された。Wordfenceが2025年2月21日に公開したこの脆弱性は、CVE-2024-13672として識別され、CVSS 3.1で6.4(MEDIUM)と評価されている。Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能で、早急な対策が必要とされている。

【CVE-2024-13672】Mini Course Generator 1.0.5にXSS...

WordPressプラグイン「Mini Course Generator」のバージョン1.0.5以前に、ストアドXSS脆弱性が発見された。Wordfenceが2025年2月21日に公開したこの脆弱性は、CVE-2024-13672として識別され、CVSS 3.1で6.4(MEDIUM)と評価されている。Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能で、早急な対策が必要とされている。

【CVE-2024-13900】WordPressプラグインHead, Footer and Post Injectionsにコード注入の脆弱性、マルチサイト環境で管理者権限による悪用の可能性

【CVE-2024-13900】WordPressプラグインHead, Footer and ...

WordPressプラグイン「Head, Footer and Post Injections」のバージョン3.3.0以前に深刻な脆弱性が発見された。この脆弱性はマルチサイト環境において管理者権限以上のユーザーがPHPコードを不正に注入できる問題で、CVSSスコア4.1(MEDIUM)と評価されている。攻撃が成功した場合、システムの機密性、完全性、可用性に影響を及ぼす可能性があり、早急な更新が推奨される。

【CVE-2024-13900】WordPressプラグインHead, Footer and ...

WordPressプラグイン「Head, Footer and Post Injections」のバージョン3.3.0以前に深刻な脆弱性が発見された。この脆弱性はマルチサイト環境において管理者権限以上のユーザーがPHPコードを不正に注入できる問題で、CVSSスコア4.1(MEDIUM)と評価されている。攻撃が成功した場合、システムの機密性、完全性、可用性に影響を及ぼす可能性があり、早急な更新が推奨される。

【CVE-2025-1591】SourceCodester Employee Management System 1.0にクロスサイトスクリプティングの脆弱性、リモートからの攻撃が可能に

【CVE-2025-1591】SourceCodester Employee Manageme...

VulDBが2025年2月23日に公開したSourceCodester Employee Management System 1.0の脆弱性情報によると、Department Pageコンポーネントのdepartment.phpファイルにクロスサイトスクリプティングの脆弱性が存在する。Department Name引数の操作により遠隔から攻撃が可能で、CVSSスコアは最大4.8点のミディアムレベル。高い特権レベルとユーザーの操作が必要だが、攻撃の複雑さは低く、情報の完全性への影響が懸念される。

【CVE-2025-1591】SourceCodester Employee Manageme...

VulDBが2025年2月23日に公開したSourceCodester Employee Management System 1.0の脆弱性情報によると、Department Pageコンポーネントのdepartment.phpファイルにクロスサイトスクリプティングの脆弱性が存在する。Department Name引数の操作により遠隔から攻撃が可能で、CVSSスコアは最大4.8点のミディアムレベル。高い特権レベルとユーザーの操作が必要だが、攻撃の複雑さは低く、情報の完全性への影響が懸念される。

【CVE-2025-1578】PHPGurukul Online Shopping Portal 2.1にSQLインジェクションの脆弱性、エクスプロイトコード公開で緊急性高まる

【CVE-2025-1578】PHPGurukul Online Shopping Porta...

PHPGurukul Online Shopping Portal 2.1のsearch-result.phpにSQLインジェクションの脆弱性が発見された。CVE-2025-1578として識別されるこの脆弱性は、product引数の操作により遠隔からの攻撃が可能で、CVSS 4.0で5.3(MEDIUM)のスコアを記録。すでにエクスプロイトコードが公開されており、早急な対策が必要とされている。

【CVE-2025-1578】PHPGurukul Online Shopping Porta...

PHPGurukul Online Shopping Portal 2.1のsearch-result.phpにSQLインジェクションの脆弱性が発見された。CVE-2025-1578として識別されるこの脆弱性は、product引数の操作により遠隔からの攻撃が可能で、CVSS 4.0で5.3(MEDIUM)のスコアを記録。すでにエクスプロイトコードが公開されており、早急な対策が必要とされている。

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正アクセスが可能な状態に

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正...

ポルトガル語圏向けのオープンソース型施設管理Webアプリケーション「WeGIA」において、examples.phpエンドポイントにパストラバーサルの脆弱性が発見された。この脆弱性により、データベースへの直接アクセスを可能にする情報を含むconfig.phpファイルへの不正アクセスが可能な状態となっている。深刻度はCriticalでCVSSスコアは10.0を記録。LabRedesCefetRJは脆弱性の修正を含むバージョン3.2.14をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26615】WeGIAにパストラバーサルの脆弱性、データベース情報への不正...

ポルトガル語圏向けのオープンソース型施設管理Webアプリケーション「WeGIA」において、examples.phpエンドポイントにパストラバーサルの脆弱性が発見された。この脆弱性により、データベースへの直接アクセスを可能にする情報を含むconfig.phpファイルへの不正アクセスが可能な状態となっている。深刻度はCriticalでCVSSスコアは10.0を記録。LabRedesCefetRJは脆弱性の修正を含むバージョン3.2.14をリリースしており、速やかなアップデートを推奨している。

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで即急な対応が必要に

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで...

ポルトガル語圏向け機関管理システムWeGIAのremover_produto.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSS v4.0で最高レベルの深刻度10.0を記録し、攻撃者による任意のSQLクエリ実行が可能となる。バージョン3.2.13で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップグレードが必要。回避策は存在せず、早急な対応が求められる。

【CVE-2025-26611】WeGIAにSQLインジェクションの脆弱性、深刻度最高レベルで...

ポルトガル語圏向け機関管理システムWeGIAのremover_produto.phpエンドポイントにSQLインジェクションの脆弱性が発見された。CVSS v4.0で最高レベルの深刻度10.0を記録し、攻撃者による任意のSQLクエリ実行が可能となる。バージョン3.2.13で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップグレードが必要。回避策は存在せず、早急な対応が求められる。

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスのリスクで即急な対応が必要

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスの...

ポルトガル語圏向けWeb管理システム「WeGIA」でSQLインジェクションの重大な脆弱性が発見された。familiar_docfamiliar.phpエンドポイントに存在する脆弱性により、認証なしで任意のSQLクエリ実行が可能となる。CVSSスコア10.0の最高レベルの深刻度で、バージョン3.2.13以前が影響を受ける。開発元は3.2.14で修正を実施、早急なアップグレードを推奨している。

【CVE-2025-26609】WeGIAにSQLインジェクションの脆弱性、機密情報アクセスの...

ポルトガル語圏向けWeb管理システム「WeGIA」でSQLインジェクションの重大な脆弱性が発見された。familiar_docfamiliar.phpエンドポイントに存在する脆弱性により、認証なしで任意のSQLクエリ実行が可能となる。CVSSスコア10.0の最高レベルの深刻度で、バージョン3.2.13以前が影響を受ける。開発元は3.2.14で修正を実施、早急なアップグレードを推奨している。

【CVE-2024-13538】BigBuy Dropshipping Connector for WooCommerceにフルパス開示の脆弱性、バージョン1.9.19以前に影響

【CVE-2024-13538】BigBuy Dropshipping Connector f...

WordPressプラグインのBigBuy Dropshipping Connector for WooCommerceにおいて、バージョン1.9.19以前に影響するフルパス開示の脆弱性が発見された。未認証の攻撃者による情報取得のリスクが存在し、CVSSスコア5.3(中程度)と評価されている。この脆弱性は他の攻撃と組み合わさることで重大な影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2024-13538】BigBuy Dropshipping Connector f...

WordPressプラグインのBigBuy Dropshipping Connector for WooCommerceにおいて、バージョン1.9.19以前に影響するフルパス開示の脆弱性が発見された。未認証の攻撃者による情報取得のリスクが存在し、CVSSスコア5.3(中程度)と評価されている。この脆弱性は他の攻撃と組み合わさることで重大な影響を及ぼす可能性があるため、早急な対応が推奨される。

【CVE-2024-13582】WordPressプラグインSimple Pricing Tables For WPBakeryに深刻なXSS脆弱性が発見、Contributor権限での攻撃が可能に

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2024-13582】WordPressプラグインSimple Pricing Ta...

WordPressプラグイン「Simple Pricing Tables For WPBakery Page Builder」のバージョン1.0以前において、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入できる問題で、CVSSスコアは6.4(MEDIUM)と評価された。Wordfenceのセキュリティチームにより2025年2月18日に公開され、CVE-2024-13582として識別されている。

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1.5.43で修正完了

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1...

BishopFox社が開発するセキュリティテストツールsliverのチームサーバーにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性により、オペレーターの指示なくインプラントがリバーストンネルを開設可能となり、サーバーのIPアドレスが露出するリスクが確認された。対策としてバージョン1.5.43がリリースされ、全ユーザーへのアップデートが推奨されている。

【CVE-2025-27090】sliverチームサーバーでSSRF脆弱性が発見、バージョン1...

BishopFox社が開発するセキュリティテストツールsliverのチームサーバーにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性により、オペレーターの指示なくインプラントがリバーストンネルを開設可能となり、サーバーのIPアドレスが露出するリスクが確認された。対策としてバージョン1.5.43がリリースされ、全ユーザーへのアップデートが推奨されている。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み取りによるシステムクラッシュの危険性

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

【CVE-2025-1673】ZephyrのDNSバリデーション機能に深刻な脆弱性、境界外読み...

Zephyr Projectが2025年2月25日に公開した脆弱性情報によると、Zephyr 4.0以前のバージョンにおいてDNSメッセージ検証機能に境界外読み取りの脆弱性が存在することが判明した。CVE-2025-1673として識別されたこの脆弱性は、CVSSスコア8.2の高い深刻度を持ち、悪意のあるDNSパケットによってシステムクラッシュやサービス拒否を引き起こす可能性がある。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1.1で対策可能に

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

Benner ModernaNetでSQL injection脆弱性が発見、バージョン1.1....

Benner ModernaNetのバージョン1.1.0以前にSQL injection脆弱性が発見された。この脆弱性はCVE-2025-1640として識別され、特定のURLパラメータを介してリモートから攻撃が可能となっている。CVSSスコアは6.9(MEDIUM)と評価されており、開発元は既に対策版となるバージョン1.1.1をリリースしている。早急なアップデートが推奨される。

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、Webパーツのレイアウト設定機能が強化され開発効率が向上

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、...

MicrosoftはSharePoint Framework 1.21のパブリックプレビュー版を2025年3月3日に公開した。Webパーツのフレキシブルレイアウト設定やViva Connectionsダッシュボードでのカードパーソナライゼーション機能が追加され、開発者の選択肢が拡大。正式版は2025年春にリリース予定で、Microsoft Teams、Microsoft Viva、SharePoint向けのカスタム開発がより柔軟に。

MicrosoftがSharePoint Framework 1.21プレビュー版をリリース、...

MicrosoftはSharePoint Framework 1.21のパブリックプレビュー版を2025年3月3日に公開した。Webパーツのフレキシブルレイアウト設定やViva Connectionsダッシュボードでのカードパーソナライゼーション機能が追加され、開発者の選択肢が拡大。正式版は2025年春にリリース予定で、Microsoft Teams、Microsoft Viva、SharePoint向けのカスタム開発がより柔軟に。

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月18万回までのコード補完が可能に

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月...

Googleは個人向けGemini Code Assistのパブリックプレビューを発表し、世界中の開発者に向けて実質無制限のAIコーディング支援を提供開始。Gemini 2.0を基盤とし、Visual Studio CodeやGitHub、JetBrains IDEに対応。個人用Gmailアカウントのみで利用可能で、月間最大180,000回のコード補完機能を無償で提供する。

GoogleがAIコーディング支援の個人向けGemini Code Assistを無償提供、月...

Googleは個人向けGemini Code Assistのパブリックプレビューを発表し、世界中の開発者に向けて実質無制限のAIコーディング支援を提供開始。Gemini 2.0を基盤とし、Visual Studio CodeやGitHub、JetBrains IDEに対応。個人用Gmailアカウントのみで利用可能で、月間最大180,000回のコード補完機能を無償で提供する。