Tech Insights

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱性、管理者権限への攻撃に悪用の可能性

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱...

WordPressプラグインのZarinpal Paid Downloadにおいて、バージョン2.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1(中)と評価されており、管理者などの高権限ユーザーに対する攻撃に悪用される可能性がある。パラメーターのサニタイズとエスケープ処理が適切に行われていないことが原因となっている。

【CVE-2024-13543】Zarinpal Paid Downloadに反射型XSS脆弱...

WordPressプラグインのZarinpal Paid Downloadにおいて、バージョン2.3以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1(中)と評価されており、管理者などの高権限ユーザーに対する攻撃に悪用される可能性がある。パラメーターのサニタイズとエスケープ処理が適切に行われていないことが原因となっている。

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバージョンに任意のファイルアップロードの脆弱性、マルチサイト環境で特に注意

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバー...

WordPressプラグインZarinpal Paid Downloadのバージョン2.3以前に、管理者権限を持つユーザーが任意のファイルをアップロードできる脆弱性が発見された。特にマルチサイト環境において深刻な問題となり得る本脆弱性は、CVE-2024-13544として識別され、CVSS 3.1で中程度の深刻度と評価されている。不適切なファイルバリデーションが原因とされ、早急な対応が推奨される。

【CVE-2024-13544】Zarinpal Paid Download 2.3以前のバー...

WordPressプラグインZarinpal Paid Downloadのバージョン2.3以前に、管理者権限を持つユーザーが任意のファイルをアップロードできる脆弱性が発見された。特にマルチサイト環境において深刻な問題となり得る本脆弱性は、CVE-2024-13544として識別され、CVSS 3.1で中程度の深刻度と評価されている。不適切なファイルバリデーションが原因とされ、早急な対応が推奨される。

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの脆弱性、認証不要で機密情報漏洩の危険性

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの...

WordPressプラグインのSmall Package Quotes – UPS Editionにおいて、バージョン4.5.16以前のすべてのバージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、認証なしで攻撃可能。edit_idパラメータの不適切な処理により、データベースから機密情報が抽出される可能性がある。早急なアップデートが推奨される。

【CVE-2024-13475】WordPress用UPSプラグインにSQLインジェクションの...

WordPressプラグインのSmall Package Quotes – UPS Editionにおいて、バージョン4.5.16以前のすべてのバージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、認証なしで攻撃可能。edit_idパラメータの不適切な処理により、データベースから機密情報が抽出される可能性がある。早急なアップデートが推奨される。

【CVE-2024-13490】WordPress用LTL Freight Quotes – XPO Edition 4.3.7にSQLインジェクションの脆弱性、認証なしでの攻撃が可能に

【CVE-2024-13490】WordPress用LTL Freight Quotes – ...

WordfenceはWordPress用プラグインLTL Freight Quotes – XPO Edition 4.3.7以前のバージョンにSQLインジェクションの脆弱性が存在することを発表した。edit_idとdropship_edit_idパラメータのエスケープ処理が不十分で、認証なしでデータベースから機密情報を抽出できる状態にあることが判明。CVSSスコア7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-13490】WordPress用LTL Freight Quotes – ...

WordfenceはWordPress用プラグインLTL Freight Quotes – XPO Edition 4.3.7以前のバージョンにSQLインジェクションの脆弱性が存在することを発表した。edit_idとdropship_edit_idパラメータのエスケープ処理が不十分で、認証なしでデータベースから機密情報を抽出できる状態にあることが判明。CVSSスコア7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2025-1206】Codezips Gym Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが発生

【CVE-2025-1206】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のviewdetailroutine.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1206として登録されたこの脆弱性は、CVSSスコアでMedium評価とされており、リモートからの攻撃が可能。現在は一般に公開されており、早急な対策が必要とされている。

【CVE-2025-1206】Codezips Gym Management System 1...

Codezips Gym Management System 1.0のviewdetailroutine.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-1206として登録されたこの脆弱性は、CVSSスコアでMedium評価とされており、リモートからの攻撃が可能。現在は一般に公開されており、早急な対策が必要とされている。

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0.7以前に認証不要のSQLインジェクション脆弱性が発見

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0....

WordPressプラグインのShipEngine Shipping Quotesにおいて、バージョン1.0.7以前の全バージョンで認証不要のSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13531として識別され、CVSSスコア7.5(High)と評価されている。'edit_id'パラメータの不十分なエスケープ処理により、データベースから機密情報が抽出される可能性がある深刻な問題となっている。

【CVE-2024-13531】ShipEngine Shipping Quotes 1.0....

WordPressプラグインのShipEngine Shipping Quotesにおいて、バージョン1.0.7以前の全バージョンで認証不要のSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2024-13531として識別され、CVSSスコア7.5(High)と評価されている。'edit_id'パラメータの不十分なエスケープ処理により、データベースから機密情報が抽出される可能性がある深刻な問題となっている。

【CVE-2024-13532】WordPress用プラグインSmall Package Quotes – Purolator Editionにおける認証不要のSQLインジェクション脆弱性が発覚

【CVE-2024-13532】WordPress用プラグインSmall Package Qu...

WordPressプラグインSmall Package Quotes – Purolator Editionのバージョン3.6.4以前に、認証不要でSQLインジェクション攻撃が可能な脆弱性が発見された。CVE-2024-13532として識別されるこの脆弱性は、CVSSスコア7.5のHighレベルと評価されており、'edit_id'および'dropship_edit_id'パラメータの不適切な処理により、データベースから機密情報を抽出される可能性がある。

【CVE-2024-13532】WordPress用プラグインSmall Package Qu...

WordPressプラグインSmall Package Quotes – Purolator Editionのバージョン3.6.4以前に、認証不要でSQLインジェクション攻撃が可能な脆弱性が発見された。CVE-2024-13532として識別されるこの脆弱性は、CVSSスコア7.5のHighレベルと評価されており、'edit_id'および'dropship_edit_id'パラメータの不適切な処理により、データベースから機密情報を抽出される可能性がある。

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQLインジェクションの脆弱性、認証不要で情報漏洩のリスク

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQ...

WordPressプラグイン「LTL Freight Quotes – For Customers of FedEx Freight」にSQLインジェクションの脆弱性が発見され、CVE-2024-13480として公開された。バージョン3.4.1以前の全バージョンが影響を受け、認証なしでデータベースから機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価されており、早急な対応が必要とされている。

【CVE-2024-13480】FedEx Freight用WordPressプラグインにSQ...

WordPressプラグイン「LTL Freight Quotes – For Customers of FedEx Freight」にSQLインジェクションの脆弱性が発見され、CVE-2024-13480として公開された。バージョン3.4.1以前の全バージョンが影響を受け、認証なしでデータベースから機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価されており、早急な対応が必要とされている。

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数のバージョンで深刻な影響

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数...

ICS-CERTがDingtian DT-R0シリーズの認証バイパス脆弱性【CVE-2025-1283】を公開。DT-R002、DT-R008、DT-R016、DT-R032の特定バージョンで影響を確認。メインページへの直接アクセスでログイン要件をバイパス可能。CVSSスコアは3.1で9.8、4.0で9.3と深刻度が極めて高く、早急な対応が必要。CISAによる評価では攻撃の自動化が可能で技術的影響は全体に及ぶと判断。

【CVE-2025-1283】Dingtian DT-R0シリーズに認証バイパスの脆弱性、複数...

ICS-CERTがDingtian DT-R0シリーズの認証バイパス脆弱性【CVE-2025-1283】を公開。DT-R002、DT-R008、DT-R016、DT-R032の特定バージョンで影響を確認。メインページへの直接アクセスでログイン要件をバイパス可能。CVSSスコアは3.1で9.8、4.0で9.3と深刻度が極めて高く、早急な対応が必要。CISAによる評価では攻撃の自動化が可能で技術的影響は全体に及ぶと判断。

【CVE-2024-13704】WordPress用Super Testimonialsプラグインにクロスサイトスクリプティングの脆弱性、バージョン4.0.1まで影響

【CVE-2024-13704】WordPress用Super Testimonialsプラグ...

WordFenceは2025年2月18日、WordPressプラグイン「Super Testimonials」にクロスサイトスクリプティングの脆弱性(CVE-2024-13704)が存在することを公開した。この脆弱性はバージョン4.0.1以前に影響し、CVSSスコア7.2(High)と評価されている。未認証の攻撃者による任意のスクリプト実行が可能で、早急な対応が推奨されている。

【CVE-2024-13704】WordPress用Super Testimonialsプラグ...

WordFenceは2025年2月18日、WordPressプラグイン「Super Testimonials」にクロスサイトスクリプティングの脆弱性(CVE-2024-13704)が存在することを公開した。この脆弱性はバージョン4.0.1以前に影響し、CVSSスコア7.2(High)と評価されている。未認証の攻撃者による任意のスクリプト実行が可能で、早急な対応が推奨されている。

【CVE-2024-13725】Keap Official Opt-in Formsに重大な脆弱性、認証不要で任意のファイル実行が可能に

【CVE-2024-13725】Keap Official Opt-in Formsに重大な脆...

WordPressプラグイン「Keap Official Opt-in Forms」のバージョン2.0.1以前に重大な脆弱性が発見された。この脆弱性は認証なしでローカルファイルインクルージョン攻撃が可能となるもので、CVSSスコアは9.8とクリティカルな深刻度に分類される。特にregister_argc_argvが有効な環境では、リモートコード実行のリスクも指摘されており、早急な対応が求められている。

【CVE-2024-13725】Keap Official Opt-in Formsに重大な脆...

WordPressプラグイン「Keap Official Opt-in Forms」のバージョン2.0.1以前に重大な脆弱性が発見された。この脆弱性は認証なしでローカルファイルインクルージョン攻撃が可能となるもので、CVSSスコアは9.8とクリティカルな深刻度に分類される。特にregister_argc_argvが有効な環境では、リモートコード実行のリスクも指摘されており、早急な対応が求められている。

Applied MaterialsがSEMVision H20を発表、半導体チップの欠陥検査が高速化し製造プロセスの効率が向上

Applied MaterialsがSEMVision H20を発表、半導体チップの欠陥検査が...

Applied Materialsは半導体チップの欠陥レビュー装置SEMVision H20を発表した。第2世代コールドフィールドエミッション技術とAI画像認識を組み合わせることで、ナノスケール欠陥の検出精度が50%向上し処理速度は最大10倍に達する。主要なロジック・メモリメーカーに採用され、2nmノード以降の半導体製造プロセスを支える重要な役割を果たすだろう。

Applied MaterialsがSEMVision H20を発表、半導体チップの欠陥検査が...

Applied Materialsは半導体チップの欠陥レビュー装置SEMVision H20を発表した。第2世代コールドフィールドエミッション技術とAI画像認識を組み合わせることで、ナノスケール欠陥の検出精度が50%向上し処理速度は最大10倍に達する。主要なロジック・メモリメーカーに採用され、2nmノード以降の半導体製造プロセスを支える重要な役割を果たすだろう。

オープントーンが選択型オンライン受講制度を開始、社内SNSで研修情報を共有し効率的な学習を実現

オープントーンが選択型オンライン受講制度を開始、社内SNSで研修情報を共有し効率的な学習を実現

株式会社オープントーンは2025年2月20日、全社員を対象とした新たな教育制度「選択型オンライン受講制度」を開始した。Udemy等の市販オンラインセミナーから社員が自由に選択できる仕組みを導入し、受講した感想や評価を社内SNSで共有することで効率的な学習を実現する。特にミドルクラスの社員のIT技術やAI関連など高度なスキル習得ニーズにも対応可能な体制を整備している。

オープントーンが選択型オンライン受講制度を開始、社内SNSで研修情報を共有し効率的な学習を実現

株式会社オープントーンは2025年2月20日、全社員を対象とした新たな教育制度「選択型オンライン受講制度」を開始した。Udemy等の市販オンラインセミナーから社員が自由に選択できる仕組みを導入し、受講した感想や評価を社内SNSで共有することで効率的な学習を実現する。特にミドルクラスの社員のIT技術やAI関連など高度なスキル習得ニーズにも対応可能な体制を整備している。

リーガルテック社がVDRにAI孔明を統合、法務市場の契約管理とコンプライアンス対応を効率化へ

リーガルテック社がVDRにAI孔明を統合、法務市場の契約管理とコンプライアンス対応を効率化へ

リーガルテック株式会社は、バーチャルデータルーム「リーガルテックVDR」に大規模言語モデルを活用した生成AI「AI孔明」を統合した。契約書の自動解析や多言語翻訳機能により、法務業務の効率化とリスク管理の強化を実現。6ヶ国語対応と監査ログ管理機能により、グローバルな法務DXの推進とガバナンスの強化を支援する。

リーガルテック社がVDRにAI孔明を統合、法務市場の契約管理とコンプライアンス対応を効率化へ

リーガルテック株式会社は、バーチャルデータルーム「リーガルテックVDR」に大規模言語モデルを活用した生成AI「AI孔明」を統合した。契約書の自動解析や多言語翻訳機能により、法務業務の効率化とリスク管理の強化を実現。6ヶ国語対応と監査ログ管理機能により、グローバルな法務DXの推進とガバナンスの強化を支援する。

【CVE-2025-0574】Sante PACS Server 4.0.9にサービス拒否の脆弱性、認証不要で遠隔攻撃が可能に

【CVE-2025-0574】Sante PACS Server 4.0.9にサービス拒否の脆...

Zero Day InitiativeはSante PACS Serverのバージョン4.0.9において、WebサーバーモジュールのURLパース処理に起因するメモリ破損の脆弱性を発見した。この脆弱性は認証なしでリモートからサービス拒否攻撃を実行可能であり、CVSSスコア8.2と高い危険度を示している。CWE-119に分類されるこの脆弱性は、医療画像システムの可用性に重大な影響を及ぼす可能性がある。

【CVE-2025-0574】Sante PACS Server 4.0.9にサービス拒否の脆...

Zero Day InitiativeはSante PACS Serverのバージョン4.0.9において、WebサーバーモジュールのURLパース処理に起因するメモリ破損の脆弱性を発見した。この脆弱性は認証なしでリモートからサービス拒否攻撃を実行可能であり、CVSSスコア8.2と高い危険度を示している。CWE-119に分類されるこの脆弱性は、医療画像システムの可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-13612】Better Messages 2.6.9以前のバージョンにXSS脆弱性、Contributor以上の権限で攻撃が可能に

【CVE-2024-13612】Better Messages 2.6.9以前のバージョンにX...

WordPressプラグイン「Better Messages」のバージョン2.6.9以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.4でMEDIUMに分類されるこの脆弱性は、Contributor以上の権限を持つ攻撃者がショートコードを介して悪意のあるスクリプトを注入することで、ページにアクセスしたユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13612】Better Messages 2.6.9以前のバージョンにX...

WordPressプラグイン「Better Messages」のバージョン2.6.9以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.4でMEDIUMに分類されるこの脆弱性は、Contributor以上の権限を持つ攻撃者がショートコードを介して悪意のあるスクリプトを注入することで、ページにアクセスしたユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13842】Ivanti製品にハードコードキーの脆弱性が発見、管理者権限で機密データにアクセス可能な状態に

【CVE-2024-13842】Ivanti製品にハードコードキーの脆弱性が発見、管理者権限で...

Ivantiは2025年2月11日、同社のConnect SecureとPolicy Secureに影響を与える重大な脆弱性を公開した。CVE-2024-13842として識別されるこの脆弱性は、ハードコードされた暗号化キーの存在により、管理者権限を持つローカル認証済み攻撃者が機密データを読み取ることが可能な状態となっている。CVSSスコアは6.0(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13842】Ivanti製品にハードコードキーの脆弱性が発見、管理者権限で...

Ivantiは2025年2月11日、同社のConnect SecureとPolicy Secureに影響を与える重大な脆弱性を公開した。CVE-2024-13842として識別されるこの脆弱性は、ハードコードされた暗号化キーの存在により、管理者権限を持つローカル認証済み攻撃者が機密データを読み取ることが可能な状態となっている。CVSSスコアは6.0(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2025-1187】Police FIR Record Management System 1.0に重大な脆弱性、スタックベースのバッファオーバーフローによるメモリ破損のリスク

【CVE-2025-1187】Police FIR Record Management Sys...

code-projects社のPolice FIR Record Management System 1.0のDelete Record機能において、スタックベースのバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大で5.3(MEDIUM)を記録し、ローカルでの特権を持つ攻撃者により悪用される可能性がある。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる状況だ。

【CVE-2025-1187】Police FIR Record Management Sys...

code-projects社のPolice FIR Record Management System 1.0のDelete Record機能において、スタックベースのバッファオーバーフローの脆弱性が発見された。CVSSスコアは最大で5.3(MEDIUM)を記録し、ローカルでの特権を持つ攻撃者により悪用される可能性がある。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる状況だ。

【CVE-2025-1210】code-projects Wazifa System 1.0にSQLインジェクションの脆弱性、リモートからの攻撃が可能に

【CVE-2025-1210】code-projects Wazifa System 1.0に...

セキュリティ研究者がcode-projects Wazifa System 1.0の/controllers/control.phpファイルにSQLインジェクションの脆弱性を発見した。CVE-2025-1210として識別されるこの脆弱性は、CVSS 3.1で6.3(中)と評価され、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1210】code-projects Wazifa System 1.0に...

セキュリティ研究者がcode-projects Wazifa System 1.0の/controllers/control.phpファイルにSQLインジェクションの脆弱性を発見した。CVE-2025-1210として識別されるこの脆弱性は、CVSS 3.1で6.3(中)と評価され、リモートからの攻撃が可能。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1189】1000 Projects Attendance Tracking Management System 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクが判明

【CVE-2025-1189】1000 Projects Attendance Trackin...

2025年2月12日、1000 Projects社のAttendance Tracking Management System 1.0において深刻な脆弱性が発見された。管理者向けページのchart1.phpファイル内でcourse_idパラメータを操作することでSQLインジェクション攻撃が可能となり、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1189】1000 Projects Attendance Trackin...

2025年2月12日、1000 Projects社のAttendance Tracking Management System 1.0において深刻な脆弱性が発見された。管理者向けページのchart1.phpファイル内でcourse_idパラメータを操作することでSQLインジェクション攻撃が可能となり、CVSSスコアは最大6.3を記録。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆弱性、認証不要で悪意のあるスクリプト実行が可能に

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆...

WordPressのECサイト構築プラグインWelcart e-Commerceにおいて、バージョン2.11.9以前に深刻な脆弱性が発見された。この脆弱性は認証なしで攻撃可能な格納型XSSであり、CVSSスコア7.2のハイリスクと評価されている。nameパラメーターを介して悪意のあるスクリプトを注入でき、そのページにアクセスする全てのユーザーに影響を及ぼす可能性がある。

【CVE-2025-0511】Welcart e-Commerce 2.11.9以前にXSS脆...

WordPressのECサイト構築プラグインWelcart e-Commerceにおいて、バージョン2.11.9以前に深刻な脆弱性が発見された。この脆弱性は認証なしで攻撃可能な格納型XSSであり、CVSSスコア7.2のハイリスクと評価されている。nameパラメーターを介して悪意のあるスクリプトを注入でき、そのページにアクセスする全てのユーザーに影響を及ぼす可能性がある。

【CVE-2024-13867】WordPressテーマLisivoに反射型XSS脆弱性、バージョン2.3.67以前のすべてのバージョンが影響

【CVE-2024-13867】WordPressテーマLisivoに反射型XSS脆弱性、バー...

WordPressテーマ「Listivo - Classified Ads WordPress Theme」にリフレクテッドクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13867として識別されるこの脆弱性は、バージョン2.3.67以前のすべてのバージョンに影響を与え、CVSSスコア6.1(MEDIUM)と評価されている。未認証の攻撃者による悪意のあるスクリプト実行が可能であり、早急な対応が推奨される。

【CVE-2024-13867】WordPressテーマLisivoに反射型XSS脆弱性、バー...

WordPressテーマ「Listivo - Classified Ads WordPress Theme」にリフレクテッドクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13867として識別されるこの脆弱性は、バージョン2.3.67以前のすべてのバージョンに影響を与え、CVSSスコア6.1(MEDIUM)と評価されている。未認証の攻撃者による悪意のあるスクリプト実行が可能であり、早急な対応が推奨される。

VARIETASがAI面接官サービスのガイドラインを策定、森・濱田松本法律事務所の専門家レビューにより法的信頼性が向上

VARIETASがAI面接官サービスのガイドラインを策定、森・濱田松本法律事務所の専門家レビュ...

株式会社VARIETASは2025年2月20日、AI面接官サービスの利用ガイドラインを策定した。内閣府AI戦略会議の構成員を務める森・濱田松本法律事務所の岡田淳弁護士による専門的なレビューを受け、総務省および経済産業省のAI事業者ガイドラインとの整合性を確保。国内外の法規制に対応した包括的な指針として、AIサービスの適正利用を促進する。

VARIETASがAI面接官サービスのガイドラインを策定、森・濱田松本法律事務所の専門家レビュ...

株式会社VARIETASは2025年2月20日、AI面接官サービスの利用ガイドラインを策定した。内閣府AI戦略会議の構成員を務める森・濱田松本法律事務所の岡田淳弁護士による専門的なレビューを受け、総務省および経済産業省のAI事業者ガイドラインとの整合性を確保。国内外の法規制に対応した包括的な指針として、AIサービスの適正利用を促進する。

【CVE-2025-24373】WooCommerce PDF請求書プラグインに深刻な脆弱性、バージョン4.0.0で対策完了

【CVE-2025-24373】WooCommerce PDF請求書プラグインに深刻な脆弱性、...

wpovernight社のWooCommerce向けPDF請求書プラグイン「woocommerce-pdf-invoices-packing-slips」において、未認証ユーザーによるPDFドキュメントアクセスの脆弱性が発見された。この脆弱性は、ゲストアクセス設定が有効な状態でURLを操作することで、機密文書への不正アクセスが可能になる問題である。CVSSスコア6.3(MEDIUM)と評価されており、バージョン4.0.0で修正が完了している。

【CVE-2025-24373】WooCommerce PDF請求書プラグインに深刻な脆弱性、...

wpovernight社のWooCommerce向けPDF請求書プラグイン「woocommerce-pdf-invoices-packing-slips」において、未認証ユーザーによるPDFドキュメントアクセスの脆弱性が発見された。この脆弱性は、ゲストアクセス設定が有効な状態でURLを操作することで、機密文書への不正アクセスが可能になる問題である。CVSSスコア6.3(MEDIUM)と評価されており、バージョン4.0.0で修正が完了している。

【CVE-2025-1052】Mintty 3.7.1にヒープベースバッファオーバーフロー脆弱性、Sixel画像処理での任意コード実行が可能に

【CVE-2025-1052】Mintty 3.7.1にヒープベースバッファオーバーフロー脆弱...

Zero Day InitiativeはMintty 3.7.1に深刻な脆弱性【CVE-2025-1052】を発見した。Sixel画像処理時のヒープベースバッファオーバーフローにより、特権不要で任意のコード実行が可能となる。CVSSスコアは8.8(HIGH)と評価され、悪意のあるページへのアクセスやファイルを開くことで攻撃が実行される可能性がある。ZDI-CAN-23382として追跡されており、早急な対策が求められている。

【CVE-2025-1052】Mintty 3.7.1にヒープベースバッファオーバーフロー脆弱...

Zero Day InitiativeはMintty 3.7.1に深刻な脆弱性【CVE-2025-1052】を発見した。Sixel画像処理時のヒープベースバッファオーバーフローにより、特権不要で任意のコード実行が可能となる。CVSSスコアは8.8(HIGH)と評価され、悪意のあるページへのアクセスやファイルを開くことで攻撃が実行される可能性がある。ZDI-CAN-23382として追跡されており、早急な対策が求められている。

【CVE-2025-1044】Logsign Unified SecOps Platformに認証バイパスの脆弱性、クリティカルレベルの危険性が判明

【CVE-2025-1044】Logsign Unified SecOps Platformに...

Zero Day Initiativeは2025年2月11日、Logsign Unified SecOps Platformにおいて認証バイパスの脆弱性を公開した。この脆弱性はTCP443ポートで待ち受けるWebサービスに影響を与え、認証アルゴリズムの実装不備により攻撃者がシステムの認証を回避可能となる。CVSSスコア9.8のクリティカルレベルと評価され、攻撃の自動化も可能なことから早急な対応が必要だ。

【CVE-2025-1044】Logsign Unified SecOps Platformに...

Zero Day Initiativeは2025年2月11日、Logsign Unified SecOps Platformにおいて認証バイパスの脆弱性を公開した。この脆弱性はTCP443ポートで待ち受けるWebサービスに影響を与え、認証アルゴリズムの実装不備により攻撃者がシステムの認証を回避可能となる。CVSSスコア9.8のクリティカルレベルと評価され、攻撃の自動化も可能なことから早急な対応が必要だ。

【CVE-2025-1191】SourceCodester Multi Restaurant Table Reservation System 1.0にSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-1191】SourceCodester Multi Restaurant ...

SourceCodesterのMulti Restaurant Table Reservation System 1.0のapprove-reject.phpファイルにSQLインジェクションの脆弱性が発見された。breject_idパラメータを悪用した攻撃が可能で、CVSSスコアは6.3(MEDIUM)と評価されている。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる。この脆弱性は認証された攻撃者によってリモートから悪用される可能性があり、データベースの不正アクセスや改ざんのリスクが存在する。

【CVE-2025-1191】SourceCodester Multi Restaurant ...

SourceCodesterのMulti Restaurant Table Reservation System 1.0のapprove-reject.phpファイルにSQLインジェクションの脆弱性が発見された。breject_idパラメータを悪用した攻撃が可能で、CVSSスコアは6.3(MEDIUM)と評価されている。既に攻撃コードが公開されており、システム管理者には早急な対応が求められる。この脆弱性は認証された攻撃者によってリモートから悪用される可能性があり、データベースの不正アクセスや改ざんのリスクが存在する。

【CVE-2025-1190】Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性が発見、複数パラメータに影響の可能性

【CVE-2025-1190】Job Recruitment 1.0にクロスサイトスクリプティ...

code-projectsのJob Recruitment 1.0において、/_parse/load_user-profile.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1190として識別されたこの脆弱性は、CVSS 4.0で中程度(スコア5.1)と評価され、複数のパラメータに影響を与える可能性がある。攻撃にはネットワークアクセスと低い特権レベルが必要とされ、情報の整合性に軽度の影響を及ぼす可能性が指摘されている。

【CVE-2025-1190】Job Recruitment 1.0にクロスサイトスクリプティ...

code-projectsのJob Recruitment 1.0において、/_parse/load_user-profile.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1190として識別されたこの脆弱性は、CVSS 4.0で中程度(スコア5.1)と評価され、複数のパラメータに影響を与える可能性がある。攻撃にはネットワークアクセスと低い特権レベルが必要とされ、情報の整合性に軽度の影響を及ぼす可能性が指摘されている。

【CVE-2025-1202】Best Church Management Software 1.1にSQLインジェクションの脆弱性、即時対応が必要な状況に

【CVE-2025-1202】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.1において、edit_slider.phpファイルに重大な脆弱性が発見された。CVE-2025-1202として識別されたこの脆弱性は、SQLインジェクション攻撃を可能にし、CVSSスコア6.3(Medium)と評価されている。リモートからの攻撃が可能で、既に攻撃コードも公開されており、早急な対応が必要とされる状況だ。

【CVE-2025-1202】Best Church Management Software ...

SourceCodester社のBest Church Management Software 1.1において、edit_slider.phpファイルに重大な脆弱性が発見された。CVE-2025-1202として識別されたこの脆弱性は、SQLインジェクション攻撃を可能にし、CVSSスコア6.3(Medium)と評価されている。リモートからの攻撃が可能で、既に攻撃コードも公開されており、早急な対応が必要とされる状況だ。

【CVE-2025-25743】D-Link DIR-853 A1にコマンドインジェクション脆弱性が発見、SetVirtualServerSettingsモジュールに深刻な影響

【CVE-2025-25743】D-Link DIR-853 A1にコマンドインジェクション脆...

MITREは2025年2月12日、D-Link DIR-853 A1のファームウェアバージョン1.20B07においてSetVirtualServerSettingsモジュールにコマンドインジェクション脆弱性が存在することを公開した。この脆弱性は【CVE-2025-25743】として識別され、システムのセキュリティに深刻な影響を及ぼす可能性がある。適切な入力検証の欠如により、悪意のある攻撃者による不正なコマンド実行のリスクが存在する。

【CVE-2025-25743】D-Link DIR-853 A1にコマンドインジェクション脆...

MITREは2025年2月12日、D-Link DIR-853 A1のファームウェアバージョン1.20B07においてSetVirtualServerSettingsモジュールにコマンドインジェクション脆弱性が存在することを公開した。この脆弱性は【CVE-2025-25743】として識別され、システムのセキュリティに深刻な影響を及ぼす可能性がある。適切な入力検証の欠如により、悪意のある攻撃者による不正なコマンド実行のリスクが存在する。