Tech Insights

【CVE-2025-0469】WordPressプラグインForminator 1.39.2にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆弱性、認証済み攻撃者による悪用の可能性

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部サービスアクセスが可能に

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2024-13469】Pricing Table by PickPluginsにクロスサイトスクリプティングの脆弱性、Contributor以上の権限で悪用可能に

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13716】WordPress用プラグインForex Calculatorsに認証バイパスの脆弱性、Subscriber以上のユーザーによる設定変更が可能に

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2025-1757】WordPress Portfolio Builder – Portfolio Gallery 1.1.7にクロスサイトスクリプティングの脆弱性、認証済みユーザーからの攻

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1.7.4.2に格納型XSSの脆弱性、管理者権限での攻撃に注意

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージョンにCSRF脆弱性、APIキーの不正更新の危険性

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1662】WordPress用プラグインURL Media Uploaderに深刻な脆弱性、内部サービスへの不正アクセスが可能に

【CVE-2025-1662】WordPress用プラグインURL Media Uploade...

WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。

【CVE-2025-1662】WordPress用プラグインURL Media Uploade...

WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権昇格の脆弱性、管理者アカウント乗っ取りのリスク

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1511】WordPressプラグインUser Registration 4.0.4に深刻な脆弱性、クロスサイトスクリプティング攻撃が可能に

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1506】WordPressプラグインWp Social Login and Register Social Counter 3.1.0にCSRF脆弱性が発見、管理者権限での設定変

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、登録済みユーザーによる情報漏洩のリスクに警鐘

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性、患者データ漏洩のリスクに警戒

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...

WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...

WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトインジェクションの脆弱性、管理者権限で深刻な影響の可能性

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。

【CVE-2024-13832】Ultra Addons Lite for Elementorに認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスクが発生

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2024-13832】Ultra Addons Lite for Elementor...

WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。

【CVE-2025-25939】Reprise License Manager 14.2でXSS脆弱性が発見、akeyパラメータに深刻な影響

【CVE-2025-25939】Reprise License Manager 14.2でXS...

Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。

【CVE-2025-25939】Reprise License Manager 14.2でXS...

Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済みユーザーの不正操作が可能に

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...

MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。

【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...

MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌルポインタ参照の問題が発覚

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌ...

D-Link DAP-1562のバージョン1.10において、HTTP POSTリクエストハンドラーのpure_auth_check機能に重大な脆弱性が発見された。この脆弱性により、遠隔からのヌルポインタ参照攻撃が可能となり、CVSSスコア7.1の評価を受けている。既にエクスプロイトが公開されており、非サポート製品であることから早急な対策が必要となっている。

【CVE-2025-1877】D-Link DAP-1562に重大な脆弱性、非サポート製品でヌ...

D-Link DAP-1562のバージョン1.10において、HTTP POSTリクエストハンドラーのpure_auth_check機能に重大な脆弱性が発見された。この脆弱性により、遠隔からのヌルポインタ参照攻撃が可能となり、CVSSスコア7.1の評価を受けている。既にエクスプロイトが公開されており、非サポート製品であることから早急な対策が必要となっている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による再帰的クローリングが可能に

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前のユーザーに影響

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパラメータに深刻な影響

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...

Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権昇格のリスクが発覚

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。

【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...

Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、セキュアブート保護のバイパスの可能性

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...

Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデートが必要に

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0555】GitLab-EEに深刻なXSS脆弱性、複数バージョンのアップデ...

GitLab社が運営するGitLab-EEにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2025-0555】として識別され、バージョン16.6から17.7.6未満、17.8から17.8.4未満、17.9から17.9.1未満に影響を与える。CVSS 3.1でHigh(7.7)と評価されており、攻撃者によって任意のスクリプトが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しないコンテンツ表示の危険性が明らかに

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-0475】GitLab CE/EEにXSS脆弱性、プロキシ機能での意図しな...

GitLab社が2025年3月3日に公開した脆弱性情報によると、GitLab CE/EEのバージョン15.10から17.9.1未満に深刻なXSS脆弱性が存在する。CVE-2025-0475として識別されるこの脆弱性は、プロキシ機能を介して意図しないコンテンツがレンダリングされる可能性があり、CVSS評価で8.7(High)と高い深刻度を示している。HackerOneを通じて報告されたこの問題への対応が急務となっている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカルな評価でセキュリティ対策が急務に

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-1875】101newsにSQLインジェクション脆弱性が発見、クリティカル...

Spanish National Cybersecurity Instituteは101newsのバージョン1.0にSQLインジェクション脆弱性を発見し公開した。CVSSスコア9.3のクリティカルな評価を受けたこの脆弱性は、search.phpのsearchtitleパラメータを介して攻撃が可能となっており、認証なしでリモートからの攻撃が可能。機密性、完全性、可用性のすべてに重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前に深刻な影響

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。

【CVE-2025-26994】WordPressプラグインZigaformにXSS脆弱性、バ...

WordPressプラグイン「Zigaform – Price Calculator & Cost Estimation Form Builder Lite」にクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスク評価で、バージョン7.4.2以前の全バージョンが影響を受ける。対策として最新バージョン7.4.3へのアップデートが推奨される。この脆弱性は永続的なXSSを可能とし、情報漏洩やセッション乗っ取りのリスクがある。