Tech Insights

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパスの脆弱性、管理者権限奪取のリスク

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...

WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...

WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード保護コンテンツが閲覧可能に

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2024-13924】WordPressプラグインStarter Templates by FancyWPにSSRF脆弱性、認証不要で内部サービスへのアクセスが可能に

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意のショートコード実行が可能に

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...

WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...

WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。

【CVE-2025-1261】HT Mega – Absolute Addons For Elementor 2.8.2以前にXSS脆弱性、Contributorユーザーからの攻撃に注意

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻撃の可能性が指摘される

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、高権限での攻撃に要注意

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2025-28857】WordPress Rankchecker.io Integrationにクロスサイトリクエストフォージェリの脆弱性、格納型XSS攻撃のリスクも

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28860】WordPress用プラグインGoogle News Editors Picks Feed Generatorに深刻な脆弱性、CSRFからXSSが可能に

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で修正完了

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクションの脆弱性、認証なしで機密情報漏洩のリスク

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHPオブジェクトインジェクション脆弱性が発見、クリティカルレベルの対応が必要に

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で機密情報漏洩の脆弱性、範囲外読み取りのリスクに注意

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

福岡のITベンチャーUnReactがShopifyサンクスページ編集アプリをリリース、顧客体験の向上とリピーター獲得を促進

福岡のITベンチャーUnReactがShopifyサンクスページ編集アプリをリリース、顧客体験...

株式会社UnReactは、Shopifyストア向けの新アプリ「シンプルサンクスページ編集|お手軽チェックアウト拡張」を2025年3月22日にリリースした。購入完了後のサンクスページにリンク付きバナー画像を表示する機能を提供し、ブランドイメージの強化や新商品・キャンペーン情報の訴求を可能にする。直感的な管理画面と3STEPの簡単設定で、ECサイト運営初心者でも安心して活用できる仕様となっている。

福岡のITベンチャーUnReactがShopifyサンクスページ編集アプリをリリース、顧客体験...

株式会社UnReactは、Shopifyストア向けの新アプリ「シンプルサンクスページ編集|お手軽チェックアウト拡張」を2025年3月22日にリリースした。購入完了後のサンクスページにリンク付きバナー画像を表示する機能を提供し、ブランドイメージの強化や新商品・キャンペーン情報の訴求を可能にする。直感的な管理画面と3STEPの簡単設定で、ECサイト運営初心者でも安心して活用できる仕様となっている。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診断で開発セキュリティの効率化を実現

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

博報堂DYホールディングスのMTCが科研費指定研究機関に認定、生活者理解とテクノロジーの融合による革新的マーケティングを推進

博報堂DYホールディングスのMTCが科研費指定研究機関に認定、生活者理解とテクノロジーの融合に...

博報堂DYホールディングスの研究開発部門であるマーケティング・テクノロジー・センターが2025年2月17日付で科学研究費助成事業の指定研究機関として認定された。人文・社会科学から自然科学まで全分野を対象とする競争的研究資金制度を活用し、生活者発想に基づく深い洞察の実現を目指す。テクノロジーと生活者理解を融合させた革新的なマーケティング手法の確立を通じて、業界全体の発展に貢献する方針だ。

博報堂DYホールディングスのMTCが科研費指定研究機関に認定、生活者理解とテクノロジーの融合に...

博報堂DYホールディングスの研究開発部門であるマーケティング・テクノロジー・センターが2025年2月17日付で科学研究費助成事業の指定研究機関として認定された。人文・社会科学から自然科学まで全分野を対象とする競争的研究資金制度を活用し、生活者発想に基づく深い洞察の実現を目指す。テクノロジーと生活者理解を融合させた革新的なマーケティング手法の確立を通じて、業界全体の発展に貢献する方針だ。

【CVE-2025-26967】Events Calendar for GeoDirectoryに深刻な脆弱性、PHP Object Injectionによる攻撃の可能性

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linux環境でユーザーアカウント制御の危険性

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...

ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...

ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射型XSS脆弱性、バージョン1.3.3以前のユーザーに影響

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発見、管理者機能に深刻な影響

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での深刻な危険性が指摘される

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.0.8で修正完了

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンからのAPIアクセスが可能な状態に

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱性、投稿者権限で不正スクリプト実行が可能に

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取できる深刻な脆弱性が発見、早急な対応が必要に

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-28867】WordPressプラグインFrontpage category filterにCSRF脆弱性、バージョン1.0.2以前に影響

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。

【CVE-2025-28867】WordPressプラグインFrontpage categor...

WordPressプラグインのFrontpage category filterにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28867として識別されるこの脆弱性は、バージョン1.0.2以前の全バージョンに影響を与える。CVSSスコア4.3のミディアムレベルの深刻度で、ネットワークからのアクセスが可能だが、攻撃には必ずユーザーの操作が必要となる。