Tech Insights

【CVE-2024-13677】GetBookingsWPプラグインに権限昇格の脆弱性、管理者アカウントの乗っ取りが可能に

【CVE-2024-13677】GetBookingsWPプラグインに権限昇格の脆弱性、管理者...

WordPressの予約管理プラグイン「GetBookingsWP」のバージョン1.1.27以前に深刻な脆弱性が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーが管理者アカウントを含む任意のユーザーのメールアドレスを変更し、パスワードリセット機能を悪用してアカウントを乗っ取ることが可能となっている。CVSS v3.1スコアは8.8(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-13677】GetBookingsWPプラグインに権限昇格の脆弱性、管理者...

WordPressの予約管理プラグイン「GetBookingsWP」のバージョン1.1.27以前に深刻な脆弱性が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーが管理者アカウントを含む任意のユーザーのメールアドレスを変更し、パスワードリセット機能を悪用してアカウントを乗っ取ることが可能となっている。CVSS v3.1スコアは8.8(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-13687】WordPressプラグインTeam Builder - Meet The Team 1.3に認証不備の脆弱性、管理者以外による設定変更のリスクが発生

【CVE-2024-13687】WordPressプラグインTeam Builder - Me...

WordPressプラグイン「Team Builder - Meet The Team」のバージョン1.3以前に重大な認証の脆弱性が発見された。save_team_builder_options()関数での権限チェックの欠落により、本来は管理者のみが行えるはずの設定変更が、Subscriber権限以上のユーザーで可能となっている。CVSSスコア4.3のMedium評価であり、早急な対応が推奨される。

【CVE-2024-13687】WordPressプラグインTeam Builder - Me...

WordPressプラグイン「Team Builder - Meet The Team」のバージョン1.3以前に重大な認証の脆弱性が発見された。save_team_builder_options()関数での権限チェックの欠落により、本来は管理者のみが行えるはずの設定変更が、Subscriber権限以上のユーザーで可能となっている。CVSSスコア4.3のMedium評価であり、早急な対応が推奨される。

【CVE-2024-13363】Raptive Adsプラグインに反射型XSS脆弱性、WordPress管理者は早急な対応が必要

【CVE-2024-13363】Raptive Adsプラグインに反射型XSS脆弱性、Word...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前の全バージョンに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13363として識別されたこの脆弱性は、CVSS評価で6.1点の中程度とされており、未認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。早急なバージョンアップデートが推奨される。

【CVE-2024-13363】Raptive Adsプラグインに反射型XSS脆弱性、Word...

WordPressプラグインのRaptive Adsにおいて、バージョン3.6.3以前の全バージョンに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2024-13363として識別されたこの脆弱性は、CVSS評価で6.1点の中程度とされており、未認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。早急なバージョンアップデートが推奨される。

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性...

WordPressプラグインDeBounce Email Validatorの全バージョン(5.6.6以前)にクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、設定の更新や悪意のあるスクリプトの実行が可能となる。CVSSスコアは6.1(中)と評価されており、早急な対策が求められている。

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性...

WordPressプラグインDeBounce Email Validatorの全バージョン(5.6.6以前)にクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、設定の更新や悪意のあるスクリプトの実行が可能となる。CVSSスコアは6.1(中)と評価されており、早急な対策が求められている。

【CVE-2024-13483】LTL Freight Quotes – SAIA Editionに認証不要のSQLインジェクション脆弱性、データベースからの情報漏洩のリスクに

【CVE-2024-13483】LTL Freight Quotes – SAIA Editi...

WordPressプラグイン「LTL Freight Quotes – SAIA Edition」のバージョン2.2.10以前に、SQLインジェクションの脆弱性が発見された。この脆弱性は認証不要で攻撃可能であり、データベースから機密情報を抽出できる状態となっている。CVSSスコアは7.5(High)と評価され、「edit_id」および「dropship_edit_id」パラメータにおける不十分なエスケープ処理が原因とされている。

【CVE-2024-13483】LTL Freight Quotes – SAIA Editi...

WordPressプラグイン「LTL Freight Quotes – SAIA Edition」のバージョン2.2.10以前に、SQLインジェクションの脆弱性が発見された。この脆弱性は認証不要で攻撃可能であり、データベースから機密情報を抽出できる状態となっている。CVSSスコアは7.5(High)と評価され、「edit_id」および「dropship_edit_id」パラメータにおける不十分なエスケープ処理が原因とされている。

【CVE-2025-1483】LTL Freight Quotes – GlobalTranz Editionに認証不備の脆弱性、ドロップシッピング設定の改ざんが可能に

【CVE-2025-1483】LTL Freight Quotes – GlobalTranz...

WordPressプラグインのLTL Freight Quotes – GlobalTranz Editionにおいて、認証されていないユーザーがドロップシッピング設定を改ざん可能な脆弱性が発見された。CVE-2025-1483として識別されるこの脆弱性は、バージョン2.3.12以前のすべてのバージョンに影響を及ぼし、CVSSスコアは5.3(Medium)と評価されている。engtz_wd_save_dropshipエンドポイントでの権限チェックの欠如が原因とされており、早急な対応が求められる。

【CVE-2025-1483】LTL Freight Quotes – GlobalTranz...

WordPressプラグインのLTL Freight Quotes – GlobalTranz Editionにおいて、認証されていないユーザーがドロップシッピング設定を改ざん可能な脆弱性が発見された。CVE-2025-1483として識別されるこの脆弱性は、バージョン2.3.12以前のすべてのバージョンに影響を及ぼし、CVSSスコアは5.3(Medium)と評価されている。engtz_wd_save_dropshipエンドポイントでの権限チェックの欠如が原因とされており、早急な対応が求められる。

【CVE-2024-13855】Prime Addons for Elementor 2.0.1に深刻な脆弱性、WordPressのプライベートコンテンツが閲覧可能に

【CVE-2024-13855】Prime Addons for Elementor 2.0....

WordPressプラグインのPrime Addons for Elementorにおいて、バージョン2.0.1以前に重大な脆弱性が発見された。CVE-2024-13855として識別されるこの脆弱性は、pae_global_blockショートコードの検証不備により、Contributor以上の権限を持つユーザーがプライベートコンテンツや下書きを閲覧可能になる。Elementorで作成されたコンテンツのみが影響を受けるが、早急な対応が必要とされている。

【CVE-2024-13855】Prime Addons for Elementor 2.0....

WordPressプラグインのPrime Addons for Elementorにおいて、バージョン2.0.1以前に重大な脆弱性が発見された。CVE-2024-13855として識別されるこの脆弱性は、pae_global_blockショートコードの検証不備により、Contributor以上の権限を持つユーザーがプライベートコンテンツや下書きを閲覧可能になる。Elementorで作成されたコンテンツのみが影響を受けるが、早急な対応が必要とされている。

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5にXSS脆弱性、特権ユーザーによる攻撃に注意

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5...

WordPressプラグイン「Events Calendar Made Simple - Pie Calendar」のバージョン1.2.5以前に、格納型クロスサイトスクリプティングの脆弱性が存在することが判明した。Contributor以上の権限を持つユーザーによって悪意のあるスクリプトが挿入され、サイト訪問者の環境で実行される可能性がある。CVSSスコアは6.4(Medium)で、早急なアップデートが推奨される。

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5...

WordPressプラグイン「Events Calendar Made Simple - Pie Calendar」のバージョン1.2.5以前に、格納型クロスサイトスクリプティングの脆弱性が存在することが判明した。Contributor以上の権限を持つユーザーによって悪意のあるスクリプトが挿入され、サイト訪問者の環境で実行される可能性がある。CVSSスコアは6.4(Medium)で、早急なアップデートが推奨される。

【CVE-2024-13461】Autoship Cloud for WooCommerceに深刻な脆弱性、認証済みユーザーからの攻撃が可能に

【CVE-2024-13461】Autoship Cloud for WooCommerceに...

WordfenceはAutoship Cloud for WooCommerce Subscription Productsプラグインのバージョン2.8.0以前に格納型クロスサイトスクリプティングの脆弱性が存在することを報告した。この脆弱性により、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能な状態となっており、ユーザーがページにアクセスした際に不正なスクリプトが実行される可能性がある。CVSSスコアは6.4と評価されている。

【CVE-2024-13461】Autoship Cloud for WooCommerceに...

WordfenceはAutoship Cloud for WooCommerce Subscription Productsプラグインのバージョン2.8.0以前に格納型クロスサイトスクリプティングの脆弱性が存在することを報告した。この脆弱性により、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能な状態となっており、ユーザーがページにアクセスした際に不正なスクリプトが実行される可能性がある。CVSSスコアは6.4と評価されている。

【CVE-2024-13648】Maps for WP 1.2.4にクロスサイトスクリプティングの脆弱性が発見、Contributor権限で悪用可能

【CVE-2024-13648】Maps for WP 1.2.4にクロスサイトスクリプティン...

WordfenceはWordPress用プラグインMaps for WPにおいて、バージョン1.2.4以前のすべてのバージョンに影響を及ぼすクロスサイトスクリプティングの脆弱性を発見した。CVSSスコア6.4で評価されるこの脆弱性は、プラグインのMapOnePointショートコードにおける入力検証の不備に起因しており、Contributor以上の権限を持つユーザーが悪用可能となっている。

【CVE-2024-13648】Maps for WP 1.2.4にクロスサイトスクリプティン...

WordfenceはWordPress用プラグインMaps for WPにおいて、バージョン1.2.4以前のすべてのバージョンに影響を及ぼすクロスサイトスクリプティングの脆弱性を発見した。CVSSスコア6.4で評価されるこの脆弱性は、プラグインのMapOnePointショートコードにおける入力検証の不備に起因しており、Contributor以上の権限を持つユーザーが悪用可能となっている。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery 1.3に深刻な脆弱性、認証済みユーザーによるXSS攻撃が可能に

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

【CVE-2024-13713】WPExperts Square For GiveWPにSQLインジェクションの脆弱性、Subscriber権限で機密情報の抽出が可能に

【CVE-2024-13713】WPExperts Square For GiveWPにSQL...

WordPressプラグイン「WPExperts Square For GiveWP」のバージョン1.3.1以前に深刻な脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ攻撃者がSQLインジェクション攻撃を実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-13713】WPExperts Square For GiveWPにSQL...

WordPressプラグイン「WPExperts Square For GiveWP」のバージョン1.3.1以前に深刻な脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ攻撃者がSQLインジェクション攻撃を実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2024-13883】WPUpper Share Buttons 3.51以前に脆弱性、管理者権限でのカスタムCSS更新が可能に

【CVE-2024-13883】WPUpper Share Buttons 3.51以前に脆弱...

WordFenceは2025年2月21日、WordPress用プラグインWPUpper Share Buttonsのバージョン3.51以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。CVE-2024-13883として識別されるこの脆弱性は、認証されていない攻撃者が管理者を騙してリンクをクリックさせることで、カスタムCSSの不正な更新が可能になる。CVSSスコアは4.3で中程度の深刻度と評価されている。

【CVE-2024-13883】WPUpper Share Buttons 3.51以前に脆弱...

WordFenceは2025年2月21日、WordPress用プラグインWPUpper Share Buttonsのバージョン3.51以前に存在するクロスサイトリクエストフォージェリの脆弱性を公開した。CVE-2024-13883として識別されるこの脆弱性は、認証されていない攻撃者が管理者を騙してリンクをクリックさせることで、カスタムCSSの不正な更新が可能になる。CVSSスコアは4.3で中程度の深刻度と評価されている。

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftはAzure SQL DatabaseとSQL Database in Microsoft Fabricにおいて、T-SQLの新機能として正規表現サポート、曖昧文字列検索、DATEADDのbigintサポートをプレビュー公開した。REGEXP_LIKEなどの5つの正規表現関数や、EDIT_DISTANCEなどの曖昧検索機能により、より柔軟なデータ操作が可能になる。

MicrosoftがT-SQLに正規表現と曖昧検索機能を追加、データベース操作の柔軟性が向上

MicrosoftはAzure SQL DatabaseとSQL Database in Microsoft Fabricにおいて、T-SQLの新機能として正規表現サポート、曖昧文字列検索、DATEADDのbigintサポートをプレビュー公開した。REGEXP_LIKEなどの5つの正規表現関数や、EDIT_DISTANCEなどの曖昧検索機能により、より柔軟なデータ操作が可能になる。

GitHubがWindows Terminal CanaryでCopilot Free対応を開始、AIによるコマンド提案機能で開発効率が向上

GitHubがWindows Terminal CanaryでCopilot Free対応を開...

GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。

GitHubがWindows Terminal CanaryでCopilot Free対応を開...

GitHubは2025年2月26日、Windows Terminal CanaryにおいてGitHub Copilot Freeプランのサポートを開始した。月50回までのチャットメッセージ制限があり、Terminal Chat機能によりターミナル上で直接AIアシスタントとのコミュニケーションが可能になった。グループポリシーによる管理機能やチャット内容のコピー機能も実装され、開発効率の向上が期待される。

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビューを開始、Rustアプリケーションの開発効率が向上へ

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...

MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。

MicrosoftがAzure Cosmos DB SDK for Rustのパブリックプレビ...

MicrosoftはRustアプリケーション開発者向けに、Azure Cosmos DB SDK for Rustのパブリックプレビューを2025年2月26日に公開した。データベース、コンテナ、アイテムの操作を行うためのイディオマティックなAPIを提供し、高性能でスケーラブルなアプリケーション開発を実現。WebAssemblyのサポートと成長するエコシステムにより、パフォーマンスが重要なワークロードやクラウドサービスの構築が容易になる。

食べログがOpenAI OperatorのAIエージェントと連携、レストラン検索・予約の利便性向上へ

食べログがOpenAI OperatorのAIエージェントと連携、レストラン検索・予約の利便性向上へ

カカクコムが運営する食べログは、OpenAIのAIエージェント「Operator」の日本向けリサーチ・プレビューへの参加を発表した。ユーザーの指示に従いOperatorが自動的に検索・予約操作を行う機能を実現。ChatGPT Proユーザーを対象に、AIによる効率的な飲食店探しと予約が可能になる。セキュリティに配慮し、重要情報の入力は手動で行う仕様を採用している。

食べログがOpenAI OperatorのAIエージェントと連携、レストラン検索・予約の利便性向上へ

カカクコムが運営する食べログは、OpenAIのAIエージェント「Operator」の日本向けリサーチ・プレビューへの参加を発表した。ユーザーの指示に従いOperatorが自動的に検索・予約操作を行う機能を実現。ChatGPT Proユーザーを対象に、AIによる効率的な飲食店探しと予約が可能になる。セキュリティに配慮し、重要情報の入力は手動で行う仕様を採用している。

【CVE-2025-0967】code-projects Chat System 1.0にSQLインジェクションの脆弱性、早急な対応が必要な状況に

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-0967】code-projects Chat System 1.0にSQ...

code-projects Chat System 1.0のadd_chatroom.phpファイルにおいて、chatnameとchatpassパラメータの処理に関連するSQLインジェクションの脆弱性が発見された。CVE-2025-0967として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコアは中程度と評価されている。既に攻撃コードが公開されており、早急な対応が必要な状況となっている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windows全バージョンに影響

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格の脆弱性、未認証攻撃者による管理者権限取得のリスク

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2024-13421】Real Estate 7 WordPressに深刻な特権昇格...

WordfenceはWordPress用テーマReal Estate 7のバージョン3.5.1以前に存在する重大な特権昇格の脆弱性を公開した。この脆弱性により、未認証の攻撃者がシステムに管理者アカウントを作成できる状態となっている。CVSS評価9.8のクリティカルと判定されており、攻撃の複雑さが低く特別な権限も不要なため、早急な対応が求められている。

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ開示の脆弱性、WordPress管理者は早急な対応が必要に

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ...

WordPressのセキュリティプラグイン「Hide My WP Ghost」において、バージョン5.3.02以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がウェブサイトの隠されたログインページを発見可能となる。CVSSスコア5.3の中程度の深刻度と評価されており、wp-register.phpパスの制限が不適切なことが原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13794】Hide My WP Ghost 5.3.02にログインページ...

WordPressのセキュリティプラグイン「Hide My WP Ghost」において、バージョン5.3.02以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がウェブサイトの隠されたログインページを発見可能となる。CVSSスコア5.3の中程度の深刻度と評価されており、wp-register.phpパスの制限が不適切なことが原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPress用プラグインのセキュリティリスクが浮き彫りに

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前にCSRF脆弱性、管理者権限での不正実行が可能に

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前...

WordPressプラグインStaffListのバージョン3.2.3以前において、クロスサイトリクエストフォージェリ(CSRF)からクロスサイトスクリプティング(XSS)につながる脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、設定を更新し悪意のあるスクリプトを実行可能。CVSSスコア6.1の中程度の深刻度と評価され、早急な対応が推奨される。

【CVE-2024-13749】WordPressプラグインStaffList 3.2.3以前...

WordPressプラグインStaffListのバージョン3.2.3以前において、クロスサイトリクエストフォージェリ(CSRF)からクロスサイトスクリプティング(XSS)につながる脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙してリンクをクリックさせることで、設定を更新し悪意のあるスクリプトを実行可能。CVSSスコア6.1の中程度の深刻度と評価され、早急な対応が推奨される。

【CVE-2025-1188】Codezips Gym Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒必要

【CVE-2025-1188】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のupdateroutine.phpファイルにSQLインジェクションの脆弱性が発見された。tid引数の不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のv4.0で5.3、v3.1とv3.0で6.3と評価され、攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2025-1188】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のupdateroutine.phpファイルにSQLインジェクションの脆弱性が発見された。tid引数の不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のv4.0で5.3、v3.1とv3.0で6.3と評価され、攻撃コードも公開されているため、早急な対応が必要とされている。

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPressプラグインのセキュリティリスクが深刻化

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2024-13735】HurryTimer 2.11.2にXSS脆弱性、WordPr...

WordPressおよびWooCommerce向けカウントダウンタイマープラグイン「HurryTimer」の2.11.2以前のバージョンで、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限で悪意のあるスクリプトを注入可能で、キャンペーン名を介して実行される可能性がある。CVSSスコア6.4でMEDIUMレベルの深刻度と評価されており、早急な対応が必要とされている。

【CVE-2024-13478】WordPressプラグインLTL Freight Quotes – TForce Editionに認証不要のSQLインジェクション脆弱性が発見、データベースからの情報

【CVE-2024-13478】WordPressプラグインLTL Freight Quote...

WordFenceが2025年2月19日、WordPressプラグイン「LTL Freight Quotes – TForce Edition」のバージョン3.6.4以前に認証なしでSQLインジェクションが可能な脆弱性を発見した。CVE-2024-13478として識別されたこの脆弱性は、CVSSスコア7.5の深刻度の高い問題として報告されており、認証されていない攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13478】WordPressプラグインLTL Freight Quote...

WordFenceが2025年2月19日、WordPressプラグイン「LTL Freight Quotes – TForce Edition」のバージョン3.6.4以前に認証なしでSQLインジェクションが可能な脆弱性を発見した。CVE-2024-13478として識別されたこの脆弱性は、CVSSスコア7.5の深刻度の高い問題として報告されており、認証されていない攻撃者がデータベースから機密情報を抽出できる可能性がある。

【CVE-2024-13479】LTL Freight Quotes – SEFL Edition 3.2.4にSQLインジェクションの脆弱性、情報漏洩のリスクが深刻化

【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...

WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。

【CVE-2024-13479】LTL Freight Quotes – SEFL Editi...

WordPressプラグインのLTL Freight Quotes – SEFL Editionにおいて、バージョン3.2.4以前の全バージョンでSQLインジェクションの脆弱性が発見された。未認証の攻撃者が'dropship_edit_id'と'edit_id'パラメータを悪用し、データベースから機密情報を抽出できる可能性がある。CVSSスコア7.5の高リスクと評価されており、早急な対応が求められている。

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6.2にクロスサイトスクリプティングの脆弱性、未認証での攻撃が可能に

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6....

WordfenceによってWordPress用プラグインYaySMTPの2.4.9から2.6.2において、未認証の攻撃者が任意のWebスクリプトを注入できる深刻な脆弱性が報告された。CVE-2025-0916として識別されるこの脆弱性は、CVSSスコア7.2のハイリスクと評価されており、wp_kses_post()関数の削除が原因とされている。Amazon SES、SendGrid、Outlookなど多様なSMTPサービスに対応した同プラグインの早急な更新が推奨される。

【CVE-2025-0916】WordPressプラグインYaySMTP 2.4.9-2.6....

WordfenceによってWordPress用プラグインYaySMTPの2.4.9から2.6.2において、未認証の攻撃者が任意のWebスクリプトを注入できる深刻な脆弱性が報告された。CVE-2025-0916として識別されるこの脆弱性は、CVSSスコア7.2のハイリスクと評価されており、wp_kses_post()関数の削除が原因とされている。Amazon SES、SendGrid、Outlookなど多様なSMTPサービスに対応した同プラグインの早急な更新が推奨される。

【CVE-2024-13534】WordPressプラグインSmall Package Quotesに深刻な脆弱性、データベース情報流出の危険性

【CVE-2024-13534】WordPressプラグインSmall Package Quo...

WordPressプラグイン「Small Package Quotes – Worldwide Express Edition」のバージョン5.2.18以前に、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、攻撃者によるデータベースからの機密情報抽出が可能となっている。edit_idとdropship_edit_idパラメータの不適切な処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13534】WordPressプラグインSmall Package Quo...

WordPressプラグイン「Small Package Quotes – Worldwide Express Edition」のバージョン5.2.18以前に、認証不要で攻撃可能なSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性で、攻撃者によるデータベースからの機密情報抽出が可能となっている。edit_idとdropship_edit_idパラメータの不適切な処理が原因で、早急なアップデートが推奨される。

【CVE-2025-1134】ChurchCRM 5.13.0にSQLインジェクションの脆弱性、重要データの漏洩リスクに警戒

【CVE-2025-1134】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...

ChurchCRM 5.13.0以前のバージョンにSQLインジェクションの脆弱性が発見された。DonatedItemEditor機能のCurrentFundraiserパラメータで入力値の検証が不十分であり、管理者権限を持つ攻撃者が任意のSQLクエリを実行可能。CVSSスコア9.3のCriticalな脆弱性として評価され、データベースの情報漏洩や改ざんのリスクが指摘されている。

【CVE-2025-1134】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...

ChurchCRM 5.13.0以前のバージョンにSQLインジェクションの脆弱性が発見された。DonatedItemEditor機能のCurrentFundraiserパラメータで入力値の検証が不十分であり、管理者権限を持つ攻撃者が任意のSQLクエリを実行可能。CVSSスコア9.3のCriticalな脆弱性として評価され、データベースの情報漏洩や改ざんのリスクが指摘されている。