Tech Insights

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redirect脆弱性、悪意のあるサイトへの誘導が可能に

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2024-13888】WPMobile.App 11.56以前にOpen Redir...

WordPressプラグインWPMobile.Appのversion 11.56以前に重大な脆弱性が発見された。CVE-2024-13888として識別されるこの脆弱性は、redirectパラメータの検証不備により、認証なしで悪意のあるサイトへのリダイレクトが可能となる。CVSSスコア7.2のHighレベルと評価され、早急な対応が推奨される。Wordfenceの研究者Krzysztof Zajacによって発見されたこの問題は、フィッシング攻撃などのリスクを引き起こす可能性がある。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグインに深刻な脆弱性、認証済みユーザーによる任意のスクリプト実行が可能に

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

【CVE-2025-1064】WordPress用Login/Signup Popupプラグイ...

WordPressプラグイン「Login/Signup Popup (Inline Form + Woocommerce)」のバージョン2.8.5以前に、クロスサイトスクリプティングの脆弱性が発見された。xoo_el_actionショートコードにおける入力サニタイズと出力エスケープの不備により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度だが、早急な対応が推奨される。

【CVE-2024-13235】WordPressプラグインPinpoint Booking Systemに深刻な脆弱性、SQLインジェクションによる情報漏洩のリスクが発生

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2024-13235】WordPressプラグインPinpoint Booking ...

WordPressプラグイン「Pinpoint Booking System」のバージョン2.9.9.5.2以下において、SQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13235として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。購読者以上の権限を持つユーザーが悪用可能で、データベースから機密情報を抽出できる可能性があるため、早急な対応が必要とされる。

【CVE-2024-13818】WordPressプラグインRegistration Forms 3.8.3.9以前に深刻な情報漏洩の脆弱性が発見、認証なしでアクセス可能な状態に

【CVE-2024-13818】WordPressプラグインRegistration Form...

WordPressのプラグインRegistration Formsにおいて、バージョン3.8.3.9以前に重大な脆弱性が発見された。CVE-2024-13818として識別されるこの脆弱性により、認証されていない攻撃者がログファイルを通じてユーザーの機密情報にアクセスできる可能性がある。CVSSスコア5.3の中程度の脆弱性とされ、早急な対策が必要とされている。

【CVE-2024-13818】WordPressプラグインRegistration Form...

WordPressのプラグインRegistration Formsにおいて、バージョン3.8.3.9以前に重大な脆弱性が発見された。CVE-2024-13818として識別されるこの脆弱性により、認証されていない攻撃者がログファイルを通じてユーザーの機密情報にアクセスできる可能性がある。CVSSスコア5.3の中程度の脆弱性とされ、早急な対策が必要とされている。

【CVE-2025-1402】Event Tickets and Registration 5.19.1.1に認証の欠陥、Contributor権限で任意のチケット削除が可能に

【CVE-2025-1402】Event Tickets and Registration 5...

WordPressプラグイン「Event Tickets and Registration」にチケット削除機能の認証に関する重大な脆弱性が発見された。バージョン5.19.1.1以前に影響し、Contributor以上の権限を持つ攻撃者が任意のチケットを削除可能となる。CVSSスコアは5.3で、攻撃条件の複雑さは低く、特別な権限なしでネットワーク経由での攻撃が可能なため、早急な対応が推奨される。

【CVE-2025-1402】Event Tickets and Registration 5...

WordPressプラグイン「Event Tickets and Registration」にチケット削除機能の認証に関する重大な脆弱性が発見された。バージョン5.19.1.1以前に影響し、Contributor以上の権限を持つ攻撃者が任意のチケットを削除可能となる。CVSSスコアは5.3で、攻撃条件の複雑さは低く、特別な権限なしでネットワーク経由での攻撃が可能なため、早急な対応が推奨される。

アドビがiPhone向けPhotoshopモバイル版を提供開始、AI活用で直感的な操作を実現しスマートフォンでの画像編集が容易に

アドビがiPhone向けPhotoshopモバイル版を提供開始、AI活用で直感的な操作を実現し...

アドビは2025年2月26日、iPhone向けにAdobe Photoshopモバイル版の提供を開始した。スマートフォンでの操作に最適化され、レイヤーやマスク機能に加え、生成AIを活用したオブジェクト自動選択機能を搭載。基本機能は無料で提供され、プレミアム機能はWeb版とセットで月額1,300円で利用可能。Android版は年内にリリース予定となっている。

アドビがiPhone向けPhotoshopモバイル版を提供開始、AI活用で直感的な操作を実現し...

アドビは2025年2月26日、iPhone向けにAdobe Photoshopモバイル版の提供を開始した。スマートフォンでの操作に最適化され、レイヤーやマスク機能に加え、生成AIを活用したオブジェクト自動選択機能を搭載。基本機能は無料で提供され、プレミアム機能はWeb版とセットで月額1,300円で利用可能。Android版は年内にリリース予定となっている。

NTTデータ先端技術、OWASP Top 10基準のLLMアプリケーションセキュリティ診断サービスを開始、AIリスク対策の新たな一歩に

NTTデータ先端技術、OWASP Top 10基準のLLMアプリケーションセキュリティ診断サー...

NTTデータ先端技術が最新のOWASP Top 10 for LLM Applications 2025に基づくLLMアプリケーションのセキュリティ診断サービス「INTELLILINK AIセキュリティ診断」を開始した。OpenAIやHugging Faceなどの主要LLMに対応し、疑似攻撃テストとセキュリティ設定レビューにより包括的な診断を提供。AIガバナンスコンサルティングサービスとも連携し、企業のAIセキュリティ対策を強力に支援する。

NTTデータ先端技術、OWASP Top 10基準のLLMアプリケーションセキュリティ診断サー...

NTTデータ先端技術が最新のOWASP Top 10 for LLM Applications 2025に基づくLLMアプリケーションのセキュリティ診断サービス「INTELLILINK AIセキュリティ診断」を開始した。OpenAIやHugging Faceなどの主要LLMに対応し、疑似攻撃テストとセキュリティ設定レビューにより包括的な診断を提供。AIガバナンスコンサルティングサービスとも連携し、企業のAIセキュリティ対策を強力に支援する。

グリーンロードがmatomeruに電報機能を追加、企業間コミュニケーションの活性化と業務効率化を実現

グリーンロードがmatomeruに電報機能を追加、企業間コミュニケーションの活性化と業務効率化を実現

株式会社グリーンロードは法人向けお祝い花おまとめサービス『matomeru』に電報機能を追加した。お祝い花とメッセージを一括管理することで業務効率化を実現し、導入企業の7割が利用している。すでに100社以上が導入しており、フラワーロス削減やCO2排出量の削減にも貢献している。バイオフィリックデザインを取り入れることで、社員の健康増進にも寄与するサービスだ。

グリーンロードがmatomeruに電報機能を追加、企業間コミュニケーションの活性化と業務効率化を実現

株式会社グリーンロードは法人向けお祝い花おまとめサービス『matomeru』に電報機能を追加した。お祝い花とメッセージを一括管理することで業務効率化を実現し、導入企業の7割が利用している。すでに100社以上が導入しており、フラワーロス削減やCO2排出量の削減にも貢献している。バイオフィリックデザインを取り入れることで、社員の健康増進にも寄与するサービスだ。

WINWILLが国内初のマーケットプレース型ファクタリングプラットフォーム「Cash Bridge」のテスト版をリリース、中小企業の資金調達の効率化を実現へ

WINWILLが国内初のマーケットプレース型ファクタリングプラットフォーム「Cash Brid...

株式会社WINWILLは2025年2月26日、中小企業の資金調達を支援する国内初のマーケットプレース型ファクタリングマッチングプラットフォーム「Cash Bridge」のテスト版を公開した。売掛債権の売り手と買い手を直接マッチングする新しい仕組みを導入し、複数のオファーの比較検討や相互レビュー機能により、従来のファクタリングサービスにおける課題を解決する。実取引を伴わない検証環境として提供され、ユーザーフィードバックを収集する。

WINWILLが国内初のマーケットプレース型ファクタリングプラットフォーム「Cash Brid...

株式会社WINWILLは2025年2月26日、中小企業の資金調達を支援する国内初のマーケットプレース型ファクタリングマッチングプラットフォーム「Cash Bridge」のテスト版を公開した。売掛債権の売り手と買い手を直接マッチングする新しい仕組みを導入し、複数のオファーの比較検討や相互レビュー機能により、従来のファクタリングサービスにおける課題を解決する。実取引を伴わない検証環境として提供され、ユーザーフィードバックを収集する。

ADCとアイルティがAI口コミ管理システムMEO Boostを開発、GoogleMap検索順位の最適化を実現

ADCとアイルティがAI口コミ管理システムMEO Boostを開発、GoogleMap検索順位...

株式会社ADCと株式会社アイルティが、Google Mapでの検索順位向上を支援する新サービス「MEO Boost」を2025年2月25日に発表した。ChatGPTを活用した日本初のAI返信機能を搭載し、1万円以内で始められるMEO最適化サービスを実現。多言語対応により、インバウンド需要への対応も可能となっている。

ADCとアイルティがAI口コミ管理システムMEO Boostを開発、GoogleMap検索順位...

株式会社ADCと株式会社アイルティが、Google Mapでの検索順位向上を支援する新サービス「MEO Boost」を2025年2月25日に発表した。ChatGPTを活用した日本初のAI返信機能を搭載し、1万円以内で始められるMEO最適化サービスを実現。多言語対応により、インバウンド需要への対応も可能となっている。

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱性が発見、製品のセキュリティに重大な影響

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱...

D-Link DIR-853 A1 FW1.20B07のSetWanSettingsモジュールにおいて、Passwordパラメータに関連するスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性は【CVE-2025-25746】として識別され、攻撃者によるシステム制御の奪取やユーザーデータの漏洩などの深刻な被害をもたらす可能性がある。現在、製造元からの公式な対応策は発表されていない。

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱...

D-Link DIR-853 A1 FW1.20B07のSetWanSettingsモジュールにおいて、Passwordパラメータに関連するスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性は【CVE-2025-25746】として識別され、攻撃者によるシステム制御の奪取やユーザーデータの漏洩などの深刻な被害をもたらす可能性がある。現在、製造元からの公式な対応策は発表されていない。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1356】needyamin Library Card System 1.0にSQLインジェクションの脆弱性、利用者情報漏洩のリスクが浮上

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-1208】code-projects Wazifa System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1197】code-projects Real Estate Property Management System 1.0にSQL注入の脆弱性、データベースへの不正アクセスのリスク

【CVE-2025-1197】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。

【CVE-2025-1197】code-projects Real Estate Proper...

code-projects Real Estate Property Management System 1.0において、ファイル「/_parse/load_user-profile.php」の機能に重大な脆弱性が発見された。userhash引数の操作によってSQL注入攻撃が可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアでは中程度の深刻度が付与され、データベースへの不正アクセスや改ざんの可能性が懸念される状況となっている。

【CVE-2025-1023】ChurchCRM 5.13.0にSQLインジェクションの脆弱性、データ漏洩のリスクが深刻に

【CVE-2025-1023】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...

Gridware Cybersecurityは2025年2月18日、ChurchCRMのEditEventTypes機能においてSQLインジェクションの脆弱性を発見した。ChurchCRM 5.13.0以前のバージョンに存在するこの脆弱性は、newCountNameパラメータが適切なサニタイズ処理なしでSQLクエリに結合される問題に起因する。CVSSスコア9.3のCritical評価であり、データ漏洩や改ざんのリスクが指摘されている。

【CVE-2025-1023】ChurchCRM 5.13.0にSQLインジェクションの脆弱性...

Gridware Cybersecurityは2025年2月18日、ChurchCRMのEditEventTypes機能においてSQLインジェクションの脆弱性を発見した。ChurchCRM 5.13.0以前のバージョンに存在するこの脆弱性は、newCountNameパラメータが適切なサニタイズ処理なしでSQLクエリに結合される問題に起因する。CVSSスコア9.3のCritical評価であり、データ漏洩や改ざんのリスクが指摘されている。

【CVE-2025-1005】ElementsKit Elementor 3.4.0以前のバージョンに深刻な脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2025-1005】ElementsKit Elementor 3.4.0以前のバー...

WordPressプラグイン「ElementsKit Elementor」のバージョン3.4.0以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。Wordfenceの研究者により2025年2月15日に公開されたこの脆弱性は、Image Accordionウィジェットにおける入力値の検証とエスケープ処理の不備に起因する。CVSSスコア6.4を記録し、早急な対策が求められている。

【CVE-2025-1005】ElementsKit Elementor 3.4.0以前のバー...

WordPressプラグイン「ElementsKit Elementor」のバージョン3.4.0以前に、認証済みユーザーによって悪用可能なクロスサイトスクリプティングの脆弱性が発見された。Wordfenceの研究者により2025年2月15日に公開されたこの脆弱性は、Image Accordionウィジェットにおける入力値の検証とエスケープ処理の不備に起因する。CVSSスコア6.4を記録し、早急な対策が求められている。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証の脆弱性、プラグイン設定の不正変更のリスクが発生

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0874】Simple Plugins Car Rental Management 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクで早急な対応が必要に

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0864】Active Products Tables for WooCommerceに深刻な脆弱性、クロスサイトスクリプティングの危険性が浮上

【CVE-2025-0864】Active Products Tables for WooCo...

WordPressプラグインActive Products Tables for WooCommerceのバージョン1.0.6.6以前に、Reflected Cross-Site Scriptingの脆弱性が発見された。CVSSスコア6.1のこの脆弱性は、認証なしで攻撃可能で、不正なスクリプト実行のリスクがある。Wordfenceが2025年2月18日に報告し、早急な対応が求められている。

【CVE-2025-0864】Active Products Tables for WooCo...

WordPressプラグインActive Products Tables for WooCommerceのバージョン1.0.6.6以前に、Reflected Cross-Site Scriptingの脆弱性が発見された。CVSSスコア6.1のこの脆弱性は、認証なしで攻撃可能で、不正なスクリプト実行のリスクがある。Wordfenceが2025年2月18日に報告し、早急な対応が求められている。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2025-0837】WordPressテーマPuzzlesにXSS脆弱性、投稿者権限...

WordFenceは2025年2月13日、WordPressテーマPuzzlesのバージョン4.2.4以前にクロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性により、投稿者以上の権限を持つユーザーがショートコード経由で任意のスクリプトを実行可能となっている。CVSS評価は6.4(中程度)で、不適切な入力検証により攻撃が可能な状態だ。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性、認証不要で攻撃可能な重大な問題が発覚

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前に認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスク

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13850】WordPressプラグインSimple add pages or postsにXSS脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13850】WordPressプラグインSimple add pages ...

WordPressプラグインSimple add pages or postsのバージョン2.0.0以前において、深刻なクロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを注入可能となり、マルチサイトインストールやunfiltered_html無効化環境で影響を受ける。CVSS評価は5.5(MEDIUM)とされ、適切な対策が必要な状況となっている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグインに深刻な脆弱性、管理者権限で任意のスクリプト実行が可能に

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13848】WordPress用Reaction Buttonsプラグイン...

WordPressプラグインReaction Buttonsのバージョン2.1.6以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、管理者権限を持つユーザーが管理画面から任意のWebスクリプトを注入可能となり、特にマルチサイト環境で深刻な影響を及ぼす可能性がある。CVSSスコアは5.5(中程度)と評価され、早急な対応が求められている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の脆弱性、サービス拒否攻撃のリスクで早急な対応が必要

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。