Tech Insights

【CVE-2025-22475】Dell PowerProtect DDに暗号化実装の脆弱性、情報改ざんのリスクに対応するセキュリティアップデートを公開

【CVE-2025-22475】Dell PowerProtect DDに暗号化実装の脆弱性、...

Dellは2025年2月4日、ストレージ製品Dell PowerProtect DDにおいて暗号化実装に関する脆弱性を公開した。DDOS 8.3.0.0、7.10.1.50、7.13.1.10より前のバージョンが影響を受け、リモート攻撃による情報改ざんのリスクが存在する。CVSSスコア3.7のLowレベルと評価されており、Dellは該当するバージョンのユーザーに対して最新バージョンへのアップデートを推奨している。

【CVE-2025-22475】Dell PowerProtect DDに暗号化実装の脆弱性、...

Dellは2025年2月4日、ストレージ製品Dell PowerProtect DDにおいて暗号化実装に関する脆弱性を公開した。DDOS 8.3.0.0、7.10.1.50、7.13.1.10より前のバージョンが影響を受け、リモート攻撃による情報改ざんのリスクが存在する。CVSSスコア3.7のLowレベルと評価されており、Dellは該当するバージョンのユーザーに対して最新バージョンへのアップデートを推奨している。

【CVE-2025-1014】Firefox、FirefoxESR、Thunderbirdに証明書検証の脆弱性、CVSS 8.8の深刻度で修正版がリリース

【CVE-2025-1014】Firefox、FirefoxESR、Thunderbirdに証...

Mozilla社が2025年2月4日に、Firefox、Firefox ESR、Thunderbirdにおける証明書ストアへの追加時の証明書長チェックに関する脆弱性を公開した。CVE-2025-1014として識別される本脆弱性は、CVSS 3.1で深刻度8.8のHIGHに分類され、Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満のバージョンに影響を与える。信頼された証明書データのみが処理される実装により実際の影響は限定的とされている。

【CVE-2025-1014】Firefox、FirefoxESR、Thunderbirdに証...

Mozilla社が2025年2月4日に、Firefox、Firefox ESR、Thunderbirdにおける証明書ストアへの追加時の証明書長チェックに関する脆弱性を公開した。CVE-2025-1014として識別される本脆弱性は、CVSS 3.1で深刻度8.8のHIGHに分類され、Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満のバージョンに影響を与える。信頼された証明書データのみが処理される実装により実際の影響は限定的とされている。

【CVE-2025-1012】MozillaがFirefoxの重大な脆弱性を修正、複数バージョンのアップデートを緊急リリース

【CVE-2025-1012】MozillaがFirefoxの重大な脆弱性を修正、複数バージョ...

Mozilla Corporationは2025年2月4日、Firefoxおよび関連製品に影響を与える重大な脆弱性パッチを公開した。この脆弱性は並行delazification処理中のレースコンディションによってuse-after-freeが発生する可能性があり、Firefox 135未満を含む複数のバージョンに影響を与える。CISAによる評価ではCVSS v3.1スコアが9.8と非常に高く、早急な対応が求められている。

【CVE-2025-1012】MozillaがFirefoxの重大な脆弱性を修正、複数バージョ...

Mozilla Corporationは2025年2月4日、Firefoxおよび関連製品に影響を与える重大な脆弱性パッチを公開した。この脆弱性は並行delazification処理中のレースコンディションによってuse-after-freeが発生する可能性があり、Firefox 135未満を含む複数のバージョンに影響を与える。CISAによる評価ではCVSS v3.1スコアが9.8と非常に高く、早急な対応が求められている。

【CVE-2025-1010】MozillaのCustom Highlight APIに深刻な脆弱性、Firefox及びThunderbirdの複数バージョンに影響

【CVE-2025-1010】MozillaのCustom Highlight APIに深刻な...

MozillaはFirefoxとThunderbirdの複数バージョンに影響を与えるCustom Highlight APIの重大な脆弱性を公表した。【CVE-2025-1010】として識別されるこの脆弱性は、CVSS 9.8の最高レベルの危険度を持ち、リモートからの攻撃が可能なuse-after-free脆弱性である。影響を受ける製品はFirefox 135未満、Firefox ESR 115.20未満および128.7未満、Thunderbird 128.7未満および135未満のバージョンとなっている。

【CVE-2025-1010】MozillaのCustom Highlight APIに深刻な...

MozillaはFirefoxとThunderbirdの複数バージョンに影響を与えるCustom Highlight APIの重大な脆弱性を公表した。【CVE-2025-1010】として識別されるこの脆弱性は、CVSS 9.8の最高レベルの危険度を持ち、リモートからの攻撃が可能なuse-after-free脆弱性である。影響を受ける製品はFirefox 135未満、Firefox ESR 115.20未満および128.7未満、Thunderbird 128.7未満および135未満のバージョンとなっている。

【CVE-2025-0944】itsourcecode Tailoring Management System 1.0にSQL injection脆弱性、リモート攻撃のリスクに警戒必要

【CVE-2025-0944】itsourcecode Tailoring Managemen...

VulDBが2025年2月1日、itsourcecode Tailoring Management System 1.0のcustomerview.phpファイルにSQL injection脆弱性が存在すると発表した。CVE-2025-0944として識別されたこの脆弱性は、引数idの操作によってSQL injectionが可能となり、リモートからの攻撃も可能な状態である。CVSS 4.0での評価は5.3(Medium)で、機密性、整合性、可用性への影響が指摘されている。

【CVE-2025-0944】itsourcecode Tailoring Managemen...

VulDBが2025年2月1日、itsourcecode Tailoring Management System 1.0のcustomerview.phpファイルにSQL injection脆弱性が存在すると発表した。CVE-2025-0944として識別されたこの脆弱性は、引数idの操作によってSQL injectionが可能となり、リモートからの攻撃も可能な状態である。CVSS 4.0での評価は5.3(Medium)で、機密性、整合性、可用性への影響が指摘されている。

【CVE-2025-0540】itsourcecode Tailoring Management System 1.0にSQL injection脆弱性、リモート攻撃のリスクが深刻化

【CVE-2025-0540】itsourcecode Tailoring Managemen...

itsourcecode Tailoring Management System 1.0のexpadd.phpファイルにSQL injection脆弱性が発見された。CVE-2025-0540として識別されるこの脆弱性は、expcat引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは4.0で5.3(MEDIUM)と評価され、システムの整合性に影響を及ぼす可能性がある。実証コードも公開されており、早急な対応が求められる状況だ。

【CVE-2025-0540】itsourcecode Tailoring Managemen...

itsourcecode Tailoring Management System 1.0のexpadd.phpファイルにSQL injection脆弱性が発見された。CVE-2025-0540として識別されるこの脆弱性は、expcat引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは4.0で5.3(MEDIUM)と評価され、システムの整合性に影響を及ぼす可能性がある。実証コードも公開されており、早急な対応が求められる状況だ。

【CVE-2024-13659】WordPressプラグインListamester 2.3.4にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13659】WordPressプラグインListamester 2.3.4...

WordPressプラグインListamesterにおいて、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入できるクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-13659】として識別され、CVSSスコア6.4の中程度の重要度と評価されている。影響を受けるのはバージョン2.3.4以前のすべてのバージョンであり、早急なアップデートが推奨される。

【CVE-2024-13659】WordPressプラグインListamester 2.3.4...

WordPressプラグインListamesterにおいて、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入できるクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-13659】として識別され、CVSSスコア6.4の中程度の重要度と評価されている。影響を受けるのはバージョン2.3.4以前のすべてのバージョンであり、早急なアップデートが推奨される。

【CVE-2024-13594】Simple Downloads List 1.4.2以前にSQL Injection脆弱性、データベース情報の抽出が可能に

【CVE-2024-13594】Simple Downloads List 1.4.2以前にS...

WordPressプラグインSimple Downloads List 1.4.2以前のバージョンにSQL Injectionの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度であり、認証済みのContributor以上の権限を持つユーザーが、neofix_sdlショートコードのcategoryパラメータを悪用することで、データベースから機密情報を抽出できる状態にある。Peter Thaleikisによって発見され、すでに修正版が公開されている。

【CVE-2024-13594】Simple Downloads List 1.4.2以前にS...

WordPressプラグインSimple Downloads List 1.4.2以前のバージョンにSQL Injectionの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度であり、認証済みのContributor以上の権限を持つユーザーが、neofix_sdlショートコードのcategoryパラメータを悪用することで、データベースから機密情報を抽出できる状態にある。Peter Thaleikisによって発見され、すでに修正版が公開されている。

【CVE-2024-13583】WordPressプラグインSimple Gallery with Filter 2.0にXSS脆弱性、認証済みユーザーによる攻撃のリスクが判明

【CVE-2024-13583】WordPressプラグインSimple Gallery wi...

WordPressプラグインSimple Gallery with Filter 2.0以前のバージョンに、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13583として識別されたこの脆弱性は、c2tw_sgwfショートコードを介して任意のスクリプトを注入できる問題で、CVSS v3.1で6.4(MEDIUM)と評価されている。開発者は早急なアップデートの適用を推奨している。

【CVE-2024-13583】WordPressプラグインSimple Gallery wi...

WordPressプラグインSimple Gallery with Filter 2.0以前のバージョンに、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13583として識別されたこの脆弱性は、c2tw_sgwfショートコードを介して任意のスクリプトを注入できる問題で、CVSS v3.1で6.4(MEDIUM)と評価されている。開発者は早急なアップデートの適用を推奨している。

【CVE-2024-13550】ABC Notation 6.1.3にパストラバーサルの脆弱性、WordPressサイトのセキュリティリスクが深刻化

【CVE-2024-13550】ABC Notation 6.1.3にパストラバーサルの脆弱性...

WordPressプラグインABC Notationの全バージョン(6.1.3以前)にパストラバーサル脆弱性が発見された。Contributor以上の権限を持つユーザーがabcjsショートコードのfile属性を悪用することで、サーバー上の任意のファイルを読み取ることが可能となる。CVSSスコア6.5のミディアムレベルと評価されており、早急な対応が求められる。

【CVE-2024-13550】ABC Notation 6.1.3にパストラバーサルの脆弱性...

WordPressプラグインABC Notationの全バージョン(6.1.3以前)にパストラバーサル脆弱性が発見された。Contributor以上の権限を持つユーザーがabcjsショートコードのfile属性を悪用することで、サーバー上の任意のファイルを読み取ることが可能となる。CVSSスコア6.5のミディアムレベルと評価されており、早急な対応が求められる。

【CVE-2024-13449】WordPressプラグインBoom Fest 2.2.1に認証機能の脆弱性、管理者権限のない利用者による設定変更が可能に

【CVE-2024-13449】WordPressプラグインBoom Fest 2.2.1に認...

WordPressプラグインのBoom Festにおいて、バージョン2.2.1以前に認証機能の脆弱性が発見された。この問題により、Subscriber以上の権限を持つユーザーがプラグインの設定を不正に変更できる状態となっている。CVSSスコアは5.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権も不要とされており、早急な対応が必要とされている。

【CVE-2024-13449】WordPressプラグインBoom Fest 2.2.1に認...

WordPressプラグインのBoom Festにおいて、バージョン2.2.1以前に認証機能の脆弱性が発見された。この問題により、Subscriber以上の権限を持つユーザーがプラグインの設定を不正に変更できる状態となっている。CVSSスコアは5.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権も不要とされており、早急な対応が必要とされている。

【CVE-2024-13335】Sastra Essential Addonsで認証機能の不備が発覚、WordPress管理者に警戒呼びかけ

【CVE-2024-13335】Sastra Essential Addonsで認証機能の不備...

WordPressプラグイン「Sastra Essential Addons for Elementor」のバージョン1.0.14以前に、認証機能の重大な不備が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが未認証でテーマをインストール可能となっており、サイトのセキュリティリスクが高まっている。CVSS v3.1での評価は4.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13335】Sastra Essential Addonsで認証機能の不備...

WordPressプラグイン「Sastra Essential Addons for Elementor」のバージョン1.0.14以前に、認証機能の重大な不備が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが未認証でテーマをインストール可能となっており、サイトのセキュリティリスクが高まっている。CVSS v3.1での評価は4.3(MEDIUM)で、早急な対応が推奨される。

Kali LinuxがWSLの新アーキテクチャーに対応、TARベースの簡素化されたインストールが可能に

Kali LinuxがWSLの新アーキテクチャーに対応、TARベースの簡素化されたインストール...

Kali Linuxが2025年1月28日、TARベースの新しいWSLディストリビューション向けアーキテクチャーへの対応を発表した。Microsoftが昨年11月に発表した新アーキテクチャーに対応した初のLinuxディストリビューションとなり、設定ファイルを含むTARファイルの拡張子を.wslに変更するだけでWSLパッケージとして扱えるようになった。

Kali LinuxがWSLの新アーキテクチャーに対応、TARベースの簡素化されたインストール...

Kali Linuxが2025年1月28日、TARベースの新しいWSLディストリビューション向けアーキテクチャーへの対応を発表した。Microsoftが昨年11月に発表した新アーキテクチャーに対応した初のLinuxディストリビューションとなり、設定ファイルを含むTARファイルの拡張子を.wslに変更するだけでWSLパッケージとして扱えるようになった。

GitHubがGemini 2.0 FlashをCopilotで提供開始、無償ユーザーも利用可能なAIコーディング支援機能を実装

GitHubがGemini 2.0 FlashをCopilotで提供開始、無償ユーザーも利用可...

米GitHubは2025年2月5日、AIコーディング支援ツール「GitHub Copilot」でGoogleの最新AIモデル「Gemini 2.0 Flash」の提供を開始した。無償の「Copilot Free」ユーザーを含むすべてのユーザーが利用可能で、コードの提案やドキュメンテーション、コードの説明などの機能を活用できる。

GitHubがGemini 2.0 FlashをCopilotで提供開始、無償ユーザーも利用可...

米GitHubは2025年2月5日、AIコーディング支援ツール「GitHub Copilot」でGoogleの最新AIモデル「Gemini 2.0 Flash」の提供を開始した。無償の「Copilot Free」ユーザーを含むすべてのユーザーが利用可能で、コードの提案やドキュメンテーション、コードの説明などの機能を活用できる。

【CVE-2024-13425】WP Job Portal 2.2.6以前のバージョンでIDOR脆弱性が発見、他社情報の不正削除が可能に

【CVE-2024-13425】WP Job Portal 2.2.6以前のバージョンでIDO...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前に重大な脆弱性が発見された。enforcedelete()関数におけるユーザー制御キーの検証不足により、Employerレベル以上の権限を持つ認証済みユーザーが他のユーザーの会社情報を不正に削除できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価され、早急な対策が求められている。

【CVE-2024-13425】WP Job Portal 2.2.6以前のバージョンでIDO...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前に重大な脆弱性が発見された。enforcedelete()関数におけるユーザー制御キーの検証不足により、Employerレベル以上の権限を持つ認証済みユーザーが他のユーザーの会社情報を不正に削除できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価され、早急な対策が求められている。

【CVE-2024-13428】WP Job Portalに認証バイパスの脆弱性、会社ロゴの不正削除が可能に

【CVE-2024-13428】WP Job Portalに認証バイパスの脆弱性、会社ロゴの不...

WordPressの求人サイト向けプラグインWP Job Portalにおいて、バージョン2.2.6以前に認証バイパスの脆弱性が発見された。未認証の攻撃者が会社ロゴを不正に削除できる状態となっており、CVSSスコア5.3のミディアムレベルと評価されている。WordFenceによって2025年2月1日に公開され、CVE-2024-13428として登録された本脆弱性への早急な対応が推奨される。

【CVE-2024-13428】WP Job Portalに認証バイパスの脆弱性、会社ロゴの不...

WordPressの求人サイト向けプラグインWP Job Portalにおいて、バージョン2.2.6以前に認証バイパスの脆弱性が発見された。未認証の攻撃者が会社ロゴを不正に削除できる状態となっており、CVSSスコア5.3のミディアムレベルと評価されている。WordFenceによって2025年2月1日に公開され、CVE-2024-13428として登録された本脆弱性への早急な対応が推奨される。

【CVE-2024-13429】WP Job Portal 2.2.6に深刻な脆弱性、認証済みユーザーによる不正なジョブ削除の危険性が発覚

【CVE-2024-13429】WP Job Portal 2.2.6に深刻な脆弱性、認証済み...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前に、雇用主権限以上のユーザーによる任意のジョブ削除が可能となる脆弱性が発見された。CVSSスコア4.3の中程度の深刻度と評価され、user-controlled keyの検証不足による安全でないオブジェクト参照(IDOR)の問題として特定。既にバージョン2.2.7で修正されており、早急なアップデートが推奨される。

【CVE-2024-13429】WP Job Portal 2.2.6に深刻な脆弱性、認証済み...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前に、雇用主権限以上のユーザーによる任意のジョブ削除が可能となる脆弱性が発見された。CVSSスコア4.3の中程度の深刻度と評価され、user-controlled keyの検証不足による安全でないオブジェクト参照(IDOR)の問題として特定。既にバージョン2.2.7で修正されており、早急なアップデートが推奨される。

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証...

WordPressプラグインのEvent Tickets and Registrationにおいて、バージョン5.18.1以前の全バージョンで重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がチケット価格やユーザーのメールアドレス、注文日時などの機密情報を閲覧可能な状態となっている。CVSSスコアは5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-13457】Event Tickets 5.18.1に深刻な脆弱性、未認証...

WordPressプラグインのEvent Tickets and Registrationにおいて、バージョン5.18.1以前の全バージョンで重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がチケット価格やユーザーのメールアドレス、注文日時などの機密情報を閲覧可能な状態となっている。CVSSスコアは5.3(MEDIUM)と評価されており、早急な対応が必要とされている。

【CVE-2024-13458】WordPress SEO Friendly Accordion FAQプラグインに認証済XSS脆弱性、Contributor権限で任意コード実行の危険性

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWordPressテーマにLFI脆弱性、未認証での攻撃が可能に

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWord...

WordPressテーマのBootstrap Ultimate 1.4.9以前のバージョンに、未認証のLocal File Inclusion脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃者はパスパラメータを悪用してサーバー上のPHPファイルを不正に実行できる可能性がある。特にphp://filterが有効な環境では、リモートコード実行のリスクも存在する。

【CVE-2024-13545】Bootstrap Ultimate 1.4.9以前のWord...

WordPressテーマのBootstrap Ultimate 1.4.9以前のバージョンに、未認証のLocal File Inclusion脆弱性が発見された。CVSSスコア9.8のクリティカルな評価を受けており、攻撃者はパスパラメータを悪用してサーバー上のPHPファイルを不正に実行できる可能性がある。特にphp://filterが有効な環境では、リモートコード実行のリスクも存在する。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性、認証済みユーザーからの攻撃に警戒

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆弱性を発見、貢献者以上の権限で悪用の可能性

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済みXSS脆弱性、バージョン1.4.7以前が影響を受ける

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2024-13646】WordPressプラグインSingle-user-chat 0.5に深刻な脆弱性、サービス拒否のリスクが発生

【CVE-2024-13646】WordPressプラグインSingle-user-chat ...

WordPressプラグインSingle-user-chat 0.5以前のバージョンにおいて、認証済みユーザーによるデータ改変の脆弱性が発見された。CVE-2024-13646として識別されるこの脆弱性は、CVSS 3.1で深刻度8.1(High)と評価され、サービス拒否や設定の不正変更などのリスクがある。Subscriber以上の権限を持つユーザーが影響を受け、early急なアップデートが推奨される。

【CVE-2024-13646】WordPressプラグインSingle-user-chat ...

WordPressプラグインSingle-user-chat 0.5以前のバージョンにおいて、認証済みユーザーによるデータ改変の脆弱性が発見された。CVE-2024-13646として識別されるこの脆弱性は、CVSS 3.1で深刻度8.1(High)と評価され、サービス拒否や設定の不正変更などのリスクがある。Subscriber以上の権限を持つユーザーが影響を受け、early急なアップデートが推奨される。

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに深刻な脆弱性、未認証の攻撃者による任意のファイル読み取りが可能に

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前のすべてのバージョンに任意のファイル読み取りの脆弱性が発見された。CVE-2024-13671として識別されるこの脆弱性は、未認証の攻撃者によってサーバー上の機密情報が読み取られる可能性があり、CVSSスコアは7.5(HIGH)と評価されている。パストラバーサル(CWE-22)に分類されるこの問題は、早急な対応が必要とされている。

【CVE-2024-13671】Music Sheet Viewer 4.1以前のバージョンに...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前のすべてのバージョンに任意のファイル読み取りの脆弱性が発見された。CVE-2024-13671として識別されるこの脆弱性は、未認証の攻撃者によってサーバー上の機密情報が読み取られる可能性があり、CVSSスコアは7.5(HIGH)と評価されている。パストラバーサル(CWE-22)に分類されるこの問題は、早急な対応が必要とされている。

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェクションの脆弱性、WordPressサイトのデータベースがリスクに

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェク...

WordPressプラグインのForm Builder CPにおいて、バージョン1.2.41以下に深刻なSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-13680】として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。Contributor以上の権限を持つ認証済みユーザーがデータベースから機密情報を抽出できる可能性があり、早急なアップデートが推奨される。

【CVE-2024-13680】Form Builder CP 1.2.41にSQLインジェク...

WordPressプラグインのForm Builder CPにおいて、バージョン1.2.41以下に深刻なSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2024-13680】として識別され、CVSSスコア6.5の中程度の深刻度と評価されている。Contributor以上の権限を持つ認証済みユーザーがデータベースから機密情報を抽出できる可能性があり、早急なアップデートが推奨される。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL injection脆弱性、管理者パネルへの攻撃が可能に

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL injection脆弱性、管理者パネルへの攻撃が可能に

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0843】Library Card System 1.0に深刻なSQL i...

needyamin社のLibrary Card System 1.0の管理者パネルに深刻なSQL injection脆弱性が発見された。CVE-2025-0843として識別されるこの脆弱性は、メールアドレスとパスワードの引数操作により発生し、CVSS 3.1で7.3(HIGH)と評価されている。特別な権限なしでリモートから攻撃可能であり、早急な対応が必要とされる。CISAの評価では攻撃の自動化も可能とされている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻なXSS脆弱性、早急な対策が必要に

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2025-0960】AutomationDirect C-more EA9 HMIにバッファオーバーフローの脆弱性、早急な対策が必要に

【CVE-2025-0960】AutomationDirect C-more EA9 HMIに...

ICS-CERTがAutomationDirect社のC-more EA9 HMIシリーズに深刻な脆弱性を報告した。バッファオーバーフローの脆弱性により、攻撃者による遠隔からのコード実行やサービス拒否の可能性が指摘されている。影響を受けるのはv6.79以前の全モデルで、CVSS 4.0で9.3、CVSS 3.1で9.8という高い深刻度が評価されている。Claroty Team82のSharon Brizinov氏による報告を受け、CISAとAutomationDirect社が詳細情報を公開した。

【CVE-2025-0960】AutomationDirect C-more EA9 HMIに...

ICS-CERTがAutomationDirect社のC-more EA9 HMIシリーズに深刻な脆弱性を報告した。バッファオーバーフローの脆弱性により、攻撃者による遠隔からのコード実行やサービス拒否の可能性が指摘されている。影響を受けるのはv6.79以前の全モデルで、CVSS 4.0で9.3、CVSS 3.1で9.8という高い深刻度が評価されている。Claroty Team82のSharon Brizinov氏による報告を受け、CISAとAutomationDirect社が詳細情報を公開した。