Tech Insights
Webマーケティングスクール「デジプロ」がCRMコースを新規開講、顧客関係管理の実践的スキル習...
株式会社HagakureのWebマーケティングスクール「デジプロ」が、CRM(メールマーケティング)コースを開講。計6時間のオンライン講義とSlackによる質問サポートを提供し、MailChimpを活用した実践的なスキル習得が可能。現役マーケターが講師を務め、企業のマーケティング担当者や個人事業主向けに、顧客との関係構築や売上向上につながる戦略を教授する。
Webマーケティングスクール「デジプロ」がCRMコースを新規開講、顧客関係管理の実践的スキル習...
株式会社HagakureのWebマーケティングスクール「デジプロ」が、CRM(メールマーケティング)コースを開講。計6時間のオンライン講義とSlackによる質問サポートを提供し、MailChimpを活用した実践的なスキル習得が可能。現役マーケターが講師を務め、企業のマーケティング担当者や個人事業主向けに、顧客との関係構築や売上向上につながる戦略を教授する。
【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...
Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。
【CVE-2025-24438】Adobe Commerce 2.4.8以前のバージョンでXS...
Adobe Commerceの複数バージョンにストアドXSS脆弱性が発見された。影響を受けるバージョンは2.4.8-beta1以前のすべてで、低権限の攻撃者によって悪用される可能性がある。脆弱なフォームフィールドにマリシャススクリプトを注入され、被害者のブラウザ上で実行されることでセッションの乗っ取りなどの深刻な影響をもたらす可能性が指摘されている。CVSSスコアは8.7と高く評価されており、早急な対応が必要だ。
【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...
xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。
【CVE-2025-27113】libxml2にNULLポインタ参照の脆弱性、複数バージョンで...
xmlsoft社のlibxml2において重大な脆弱性が発見された。この脆弱性はpattern.cのxmlPatMatch関数でNULLポインタ参照が発生するもので、バージョン2.12.10未満および2.13.0から2.13.6未満に影響を与える。CVSSスコアは2.9(Low)と評価されており、ローカル環境からの攻撃が可能だが、特別な権限は不要。CISAの評価では自動化された攻撃は確認されていないものの、早急な対応が推奨される。
【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...
ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。
【CVE-2025-26613】WeGIAにOS Command Injection脆弱性、バ...
ポルトガル語圏向けWeb管理システムWeGIAのgerenciar_backup.phpエンドポイントにOS Command Injectionの脆弱性が発見された。CVSSスコア10.0の最高レベルの深刻度で、攻撃者による任意のコード実行が可能となる。バージョン3.2.14で修正済みだが、影響を受けるバージョンのユーザーは速やかなアップデートが必要となる。
【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...
ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。
【CVE-2025-26608】WeGIAにSQLインジェクションの脆弱性、最高深刻度で即時ア...
ポルトガル語圏向けのオープンソースWeb管理システムWeGIAで、深刻なSQLインジェクションの脆弱性が発見された。CVE-2025-26608として識別されるこの脆弱性は、dependente_docdependente.phpエンドポイントに存在し、CVSS 4.0で最高レベルの10.0と評価された。開発元は修正版のバージョン3.2.13をリリースしており、影響を受けるユーザーは直ちにアップデートが必要だ。
【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...
GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。
【CVE-2025-27089】Directus 11.0.0-11.1.2に認可の脆弱性、フ...
GitHubは2025年2月19日、データベース管理システムDirectusにおいて重複したポリシーによって更新制限を回避できる脆弱性を公開した。CVE-2025-27089として識別されたこの脆弱性は、複数の更新アクションポリシーが重複している場合に発生し、ユーザーは本来アクセスできないはずのフィールドを更新できてしまう状態となっていた。開発チームは11.1.2でフィールドごとの権限評価を実装し問題を修正している。
【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...
ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。
【CVE-2025-27096】WeGIAにSQLインジェクションの脆弱性、クリティカルレベル...
ポルトガル語圏の機関向けWebマネージャーWeGIAにおいて、深刻なSQLインジェクションの脆弱性が発見された。personalizacao_upload.phpエンドポイントのId_campoパラメータに存在するこの脆弱性は、CVSSスコア9.4のクリティカルレベルと評価されており、認証された攻撃者による任意のSQLクエリ実行を許可してしまう可能性がある。開発元は最新版へのアップデートを強く推奨している。
【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...
WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。
【CVE-2025-1407】AMO Team Showcase 1.1.4にXSS脆弱性、C...
WordPressプラグイン「AMO Team Showcase」のバージョン1.1.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性はamoteam_skillsショートコードの不適切な入力処理に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で評価され、Wordfenceが2025年2月21日に公開している。
【CVE-2025-1593】SourceCodester Best Employee Man...
VulDBが2025年2月23日にSourceCodester Best Employee Management System 1.0の重大な脆弱性を公開した。プロファイル画像ハンドラーコンポーネントに制限なしアップロードの脆弱性が存在し、リモートからの攻撃が可能となっている。CVSSスコアは最大5.1で、CWEではCWE-434とCWE-284に分類される。この脆弱性は従業員情報のセキュリティに重大な影響を与える可能性がある。
【CVE-2025-1593】SourceCodester Best Employee Man...
VulDBが2025年2月23日にSourceCodester Best Employee Management System 1.0の重大な脆弱性を公開した。プロファイル画像ハンドラーコンポーネントに制限なしアップロードの脆弱性が存在し、リモートからの攻撃が可能となっている。CVSSスコアは最大5.1で、CWEではCWE-434とCWE-284に分類される。この脆弱性は従業員情報のセキュリティに重大な影響を与える可能性がある。
【CVE-2025-27112】Navidrome 0.52.0-0.54.5に認証バイパスの...
オープンソースの音楽コレクションサーバーNavidromeにおいて、Subsonic APIの認証バイパス脆弱性が発見された。バージョン0.52.0から0.54.5未満が影響を受け、存在しないユーザー名と空のパスワードハッシュによる認証チェックの回避が可能。読み取り専用データへのアクセスが可能だが、データ変更は制限される。バージョン0.54.5で修正パッチが提供された。
【CVE-2025-27112】Navidrome 0.52.0-0.54.5に認証バイパスの...
オープンソースの音楽コレクションサーバーNavidromeにおいて、Subsonic APIの認証バイパス脆弱性が発見された。バージョン0.52.0から0.54.5未満が影響を受け、存在しないユーザー名と空のパスワードハッシュによる認証チェックの回避が可能。読み取り専用データへのアクセスが可能だが、データ変更は制限される。バージョン0.54.5で修正パッチが提供された。
【CVE-2025-27141】Metabase Enterprise Editionでキャッ...
GitHubは2025年2月24日、Metabase Enterprise Editionにおいてキャッシュされた質問結果が権限のないユーザーに閲覧可能となる脆弱性を公開した。バージョン1.47.0から1.53.2未満に影響し、なりすまし権限を持つユーザーが本来アクセスできないキャッシュデータを閲覧できる状態となっていた。対策として最新版へのアップデートまたはキャッシュ機能の無効化が推奨される。
【CVE-2025-27141】Metabase Enterprise Editionでキャッ...
GitHubは2025年2月24日、Metabase Enterprise Editionにおいてキャッシュされた質問結果が権限のないユーザーに閲覧可能となる脆弱性を公開した。バージョン1.47.0から1.53.2未満に影響し、なりすまし権限を持つユーザーが本来アクセスできないキャッシュデータを閲覧できる状態となっていた。対策として最新版へのアップデートまたはキャッシュ機能の無効化が推奨される。
【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...
WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。
【CVE-2024-13695】WordPressテーマEnfold 6.0.9にSSRF脆弱...
WordPressの人気テーマEnfoldにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性は6.0.9以前のバージョンに影響を与え、購読者以上の権限を持つユーザーが任意のWebリクエストを実行可能な状態となっている。CVSSスコアは6.4(MEDIUM)で評価され、内部サービスへのアクセスや情報の改変が可能となるため、早急な対応が必要とされている。
【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...
WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。
【CVE-2025-1063】Classified Listingプラグインに認証回避の脆弱性...
WordPressのClassified Listing プラグインにおいて、バージョン4.0.4以前に認証回避による情報漏洩の脆弱性が発見された。rtcl_taxonomy_settings_export関数の実装に問題があり、未認証の攻撃者がAPIキーやトークンを抽出可能な状態となっている。CVSSスコア5.3のミディアムリスクと評価され、早急な対応が求められる事態となっている。
【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...
WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。
【CVE-2024-13693】WordPressテーマEnfold 6.0.9に認証回避の脆...
WordPressの人気テーマEnfoldにおいて、認証回避による情報漏洩の脆弱性が発見された。この問題はavia-export-class.phpファイルの認証チェック機能の欠落に起因しており、Mailchimp APIキーやreCAPTCHAシークレットキー、Envatoプライベートトークンなどの重要な認証情報が漏洩する可能性がある。影響を受けるバージョンは6.0.9以前のすべてのバージョンで、CVSSスコアは5.3(中)と評価されている。
OpenAIが最新モデル「GPT-4.5」を発表、パターン認識と創造的洞察の能力が大幅に向上
米OpenAIは2025年2月27日に最新の大規模言語モデル「GPT-4.5」を発表した。教師なし学習のスケールアップにより、パターン認識や関連性の整理、創造的な洞察生成能力が向上している。全世界のChatGPT Proユーザーと開発者向けにリサーチプレビューとして提供され、より広い知識ベース、ユーザーの意図を汲み取る能力の向上、進化した「EQ」を備えているのが特徴だ。ハルシネーションの低減も期待される。
OpenAIが最新モデル「GPT-4.5」を発表、パターン認識と創造的洞察の能力が大幅に向上
米OpenAIは2025年2月27日に最新の大規模言語モデル「GPT-4.5」を発表した。教師なし学習のスケールアップにより、パターン認識や関連性の整理、創造的な洞察生成能力が向上している。全世界のChatGPT Proユーザーと開発者向けにリサーチプレビューとして提供され、より広い知識ベース、ユーザーの意図を汲み取る能力の向上、進化した「EQ」を備えているのが特徴だ。ハルシネーションの低減も期待される。
テテマーチがSINIS for InstagramとSINIS for Xに投稿予約機能を追加...
テテマーチ株式会社がInstagram分析ツール「SINIS for Instagram」のPROFESSIONALプランとX分析ツール「SINIS for X」のBASICプランで投稿予約機能の提供を開始した。指定日時の自動投稿やプレビュー確認が可能となり、企業のSNS運用における作業効率が向上。両ツールの登録アカウント数は合計70,000件を突破し、さらなる機能拡充も予定している。
テテマーチがSINIS for InstagramとSINIS for Xに投稿予約機能を追加...
テテマーチ株式会社がInstagram分析ツール「SINIS for Instagram」のPROFESSIONALプランとX分析ツール「SINIS for X」のBASICプランで投稿予約機能の提供を開始した。指定日時の自動投稿やプレビュー確認が可能となり、企業のSNS運用における作業効率が向上。両ツールの登録アカウント数は合計70,000件を突破し、さらなる機能拡充も予定している。
トラストバンクがめいぶつチョイスアンバサダーAWARD2024を発表、SNSを活用した名産品P...
株式会社トラストバンクが運営する地域特産品ECサイト「めいぶつチョイス」は、2024年に活動した20名のアンバサダーから年間グランプリを選出し発表した。Instagramを通じて地域特産品の魅力を発信してきたアンバサダーの中から、グランプリ1名と準グランプリ2名が選ばれ、感謝状と商品が贈られる。トラストバンクは引き続き地域と特産品の魅力を発信する取り組みを展開していく。
トラストバンクがめいぶつチョイスアンバサダーAWARD2024を発表、SNSを活用した名産品P...
株式会社トラストバンクが運営する地域特産品ECサイト「めいぶつチョイス」は、2024年に活動した20名のアンバサダーから年間グランプリを選出し発表した。Instagramを通じて地域特産品の魅力を発信してきたアンバサダーの中から、グランプリ1名と準グランプリ2名が選ばれ、感謝状と商品が贈られる。トラストバンクは引き続き地域と特産品の魅力を発信する取り組みを展開していく。
ELESTYLEがelepay請求書払いに新機能4つを追加、業務効率化と支払い体験の向上へ
ELESTYLE株式会社は2025年3月上旬、elepay請求書払いにCSVインポート機能や請求書一覧の見える化機能など4つの新機能を追加すると発表した。PayPayやクレジットカードなど約20種類のキャッシュレス決済に対応し、請求書作成から入金管理までをデジタル化。事業形態や税率に合わせたテンプレートのカスタマイズも可能となり、業務効率化を推進する。
ELESTYLEがelepay請求書払いに新機能4つを追加、業務効率化と支払い体験の向上へ
ELESTYLE株式会社は2025年3月上旬、elepay請求書払いにCSVインポート機能や請求書一覧の見える化機能など4つの新機能を追加すると発表した。PayPayやクレジットカードなど約20種類のキャッシュレス決済に対応し、請求書作成から入金管理までをデジタル化。事業形態や税率に合わせたテンプレートのカスタマイズも可能となり、業務効率化を推進する。
藤川樹脂がデジタルツイン技術活用の最短納期3D造形サービスを開始、業界最速の納期と高精度造形を実現
有限会社藤川樹脂のマジカルハート事業部が、デジタルツイン技術を活用した次世代3D造形サービスを開始した。設計からシミュレーション、造形までを一貫して連携させることで、±0.1mmの高精度造形と最短当日発送を実現。海外受注にも対応し、リモートでのデータレビューを可能にすることで、グローバル市場における製品開発の新たな選択肢を提供する。
藤川樹脂がデジタルツイン技術活用の最短納期3D造形サービスを開始、業界最速の納期と高精度造形を実現
有限会社藤川樹脂のマジカルハート事業部が、デジタルツイン技術を活用した次世代3D造形サービスを開始した。設計からシミュレーション、造形までを一貫して連携させることで、±0.1mmの高精度造形と最短当日発送を実現。海外受注にも対応し、リモートでのデータレビューを可能にすることで、グローバル市場における製品開発の新たな選択肢を提供する。
LAPRASがAIレビュー機能をアップグレード、技術記事の評価精度が大幅に向上し利便性が拡大
LAPRAS株式会社が転職サービス「LAPRAS」の技術記事評価機能「AIレビュー」をアップグレードした。AIモデルとプロンプトの改良により採点とコメントの精度が向上し、人間評価との相関係数0.72を達成。評価結果の一覧表示機能も追加され、QiitaやZennの技術記事を5つの観点で評価し、エンジニアの成長を支援する。LAPRASスコアへの反映も検討中だ。
LAPRASがAIレビュー機能をアップグレード、技術記事の評価精度が大幅に向上し利便性が拡大
LAPRAS株式会社が転職サービス「LAPRAS」の技術記事評価機能「AIレビュー」をアップグレードした。AIモデルとプロンプトの改良により採点とコメントの精度が向上し、人間評価との相関係数0.72を達成。評価結果の一覧表示機能も追加され、QiitaやZennの技術記事を5つの観点で評価し、エンジニアの成長を支援する。LAPRASスコアへの反映も検討中だ。
MicrosoftがPowerShell 7のMicrosoft Update機能を拡充、3月...
MicrosoftはPowerShell 7のMicrosoft Update機能について最新の動作と更新ルールを発表した。PowerShell 7.2から導入された自動更新機能により、企業環境での更新管理が効率化される。特に2025年3月14日からはPowerShell 7.2のユーザーに対してバージョン7.4への更新が開始される予定だ。LTSバージョン間の更新ルールも明確化され、より安定した運用が可能になる。
MicrosoftがPowerShell 7のMicrosoft Update機能を拡充、3月...
MicrosoftはPowerShell 7のMicrosoft Update機能について最新の動作と更新ルールを発表した。PowerShell 7.2から導入された自動更新機能により、企業環境での更新管理が効率化される。特に2025年3月14日からはPowerShell 7.2のユーザーに対してバージョン7.4への更新が開始される予定だ。LTSバージョン間の更新ルールも明確化され、より安定した運用が可能になる。
【CVE-2024-13435】WordPressプラグインEbook Downloaderに...
Wordfenceは2025年2月12日、WordPressプラグインEbook Downloaderにおいて、認証不要で悪用可能なSQLインジェクションの脆弱性を発見した。CVSSスコア7.5の高リスク脆弱性で、バージョン1.0までのすべてのバージョンが影響を受ける。不適切なエスケープ処理により、攻撃者がデータベースから機密情報を抽出可能な状態となっている。
【CVE-2024-13435】WordPressプラグインEbook Downloaderに...
Wordfenceは2025年2月12日、WordPressプラグインEbook Downloaderにおいて、認証不要で悪用可能なSQLインジェクションの脆弱性を発見した。CVSSスコア7.5の高リスク脆弱性で、バージョン1.0までのすべてのバージョンが影響を受ける。不適切なエスケープ処理により、攻撃者がデータベースから機密情報を抽出可能な状態となっている。
【CVE-2024-13541】WordPressプラグインaDirectoryに認証回避の脆...
WordPressのディレクトリリスティングプラグイン「aDirectory」のバージョン2.3以前に、認証回避による任意の投稿削除が可能な脆弱性が発見された。Subscriber以上の権限を持つユーザーが投稿を削除できる問題で、CVSSスコアは4.3(MEDIUM)と評価。Frontend/Ajax.php内のadqs_delete_listing()関数における権限チェックの欠如が原因とされている。
【CVE-2024-13541】WordPressプラグインaDirectoryに認証回避の脆...
WordPressのディレクトリリスティングプラグイン「aDirectory」のバージョン2.3以前に、認証回避による任意の投稿削除が可能な脆弱性が発見された。Subscriber以上の権限を持つユーザーが投稿を削除できる問題で、CVSSスコアは4.3(MEDIUM)と評価。Frontend/Ajax.php内のadqs_delete_listing()関数における権限チェックの欠如が原因とされている。
【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...
WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。
【CVE-2024-13701】WordPressプラグインLivetickerに深刻なXSS...
WordPressプラグインのLiveticker(by stklcode)においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.2.2以前が影響を受け、投稿者以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコアは6.4で中程度の深刻度と評価され、適切なアップデートによる対応が必要。
【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...
ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。
【CVE-2024-13770】WordPressテーマPuzzlesに重大な脆弱性、認証なし...
ThemeREX社のWordPressテーマ「Puzzles」のバージョン4.2.4以前に深刻な脆弱性が発見された。認証なしでPHPオブジェクトインジェクションが可能となる脆弱性で、他のプラグインやテーマと組み合わさることで任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。開発元は対応策としてリポジトリからの完全削除を選択し、ユーザーには代替ソフトウェアへの移行を推奨している。
【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...
WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-13395】WordPress用プラグインThreepressに深刻な脆弱...
WordPressプラグインThreepressのバージョン1.7.1以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーによって悪用される可能性があり、プラグインのthreepressショートコードを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4(MEDIUM)と評価されており、早急なアップデートが推奨される。
【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...
WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。
【CVE-2024-13579】WP-Asambleas 2.85.0にXSS脆弱性、Cont...
WordPressプラグインWP-Asambleasの2.85.0以前のバージョンで、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能で、プラグインのpolls_popupショートコードに問題がある。CVSSスコアは6.4で中程度と評価されており、早急な対応が推奨される。
【CVE-2025-0805】WordPress用プラグインMortgage Calculat...
WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。
【CVE-2025-0805】WordPress用プラグインMortgage Calculat...
WordPressプラグイン「Mortgage Calculator / Loan Calculator」のバージョン1.5.20以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを挿入可能で、ページにアクセスしたユーザーのブラウザ上で実行される危険性がある。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められている。
【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...
WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。
【CVE-2024-13464】Library Bookshelves 5.9以前に脆弱性、認...
WordPressプラグインLibrary Bookshelvesにおいて、バージョン5.9以前に重大な脆弱性が発見された。この脆弱性はショートコードの入力検証の不備によるもので、投稿者以上の権限を持つユーザーによるクロスサイトスクリプティング攻撃を可能にする。CVSSスコア6.4のミディアムレベルと評価され、適切なアップデートによる対応が推奨される。
【CVE-2024-13595】WordPress用プラグインSimple Signup Fo...
WordPressプラグインSimple Signup Formの1.6.5以前のバージョンにSQL注入の脆弱性が存在することが判明。CVE-2024-13595として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーによって悪用される可能性がある。ssf shortcodeのidパラメータに対する入力値の検証が不十分であり、データベースから機密情報が抽出されるリスクがある。
【CVE-2024-13595】WordPress用プラグインSimple Signup Fo...
WordPressプラグインSimple Signup Formの1.6.5以前のバージョンにSQL注入の脆弱性が存在することが判明。CVE-2024-13595として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーによって悪用される可能性がある。ssf shortcodeのidパラメータに対する入力値の検証が不十分であり、データベースから機密情報が抽出されるリスクがある。