Tech Insights

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの脆弱性、管理者の操作を悪用した攻撃のリスク

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な脆弱性、任意のファイル読み取りが可能に

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆弱性、認証なしでファイルアクセスが可能に

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な脆弱性、認証済みユーザーによる攻撃の可能性

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な...

WordPressプラグイン「Simplebooklet PDF Viewer and Embedder」のバージョン1.1.0以前に、重大なクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13588として識別されるこの問題は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、早急な対応が必要とされている。CVSSスコアは6.4(MEDIUM)と評価され、不適切な入力処理が原因とされている。

【CVE-2024-13588】WordPressプラグインSimplebookletに深刻な...

WordPressプラグイン「Simplebooklet PDF Viewer and Embedder」のバージョン1.1.0以前に、重大なクロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13588として識別されるこの問題は、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、早急な対応が必要とされている。CVSSスコアは6.4(MEDIUM)と評価され、不適切な入力処理が原因とされている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが浮上

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、Contributor以上の権限で攻撃可能に

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13573】WordPressプラグインZigaform Form Builder Liteに深刻な脆弱性、早急な対応が必要

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13555】1 Click WordPress Migration Plugin 2.1に深刻な脆弱性、バックアップ機能への攻撃が可能に

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻撃者による投稿順序操作の危険性

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バージョン2.5.1以前に影響

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏洩のリスクが発生

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13525】WooCommerceプラグインに深刻な脆弱性、ユーザー情報漏...

WordfenceはWordPress用プラグインCustomer Email Verification for WooCommerceのバージョン2.9.4以前に情報漏洩の脆弱性が存在することを公開した。Contributor以上の権限を持つ攻撃者がショートコードを介してユーザーの機密情報を抽出できる問題で、CVSS評価は6.5(MEDIUM)。メールアドレスやハッシュ化パスワードの漏洩リスクがあり、早急な対応が必要とされている。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4以前にXSS脆弱性、管理者権限での設定変更とスクリプト注入の危険性

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回避の脆弱性、未認証での情報改ざんが可能に

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL Injection脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13500】WP Project Manager 2.6.17にSQL I...

WordPressプラグイン「WP Project Manager」の2.6.17以前のバージョンにSQL Injection脆弱性が発見された。orderbyパラメータの不適切な処理により、Subscriber権限以上のユーザーがデータベースから機密情報を抽出可能となる。CVSSスコア6.5で評価され、早急なアップデートが推奨される。Wordfenceが2025年2月15日に公開した情報によると、この脆弱性はCVE-2024-13500として識別されている。

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にX...

WordPressのGutenbergブロック用プラグイン「aBlocks」にクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13465として識別されるこの脆弱性は、Table Of ContentブロックのmarkerView属性における入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つユーザーが任意のWebスクリプトを実行可能な状態となっている。CVSSスコアは6.4で、深刻度は中程度と評価された。

【CVE-2024-13465】WordPressプラグインaBlocks 1.6.1以前にX...

WordPressのGutenbergブロック用プラグイン「aBlocks」にクロスサイトスクリプティング脆弱性が発見された。CVE-2024-13465として識別されるこの脆弱性は、Table Of ContentブロックのmarkerView属性における入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つユーザーが任意のWebスクリプトを実行可能な状態となっている。CVSSスコアは6.4で、深刻度は中程度と評価された。

【CVE-2024-13445】Elementor Website Builder 3.27.4にXSS脆弱性、認証済みユーザーによる不正スクリプト実行の危険性

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13445】Elementor Website Builder 3.27....

WordPressプラグインのElementor Website Builder 3.27.4以前のバージョンに、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが境界線、マージン、ギャップのパラメータを通じて悪意のあるスクリプトを注入可能で、CVSS v3.1で中程度の深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆弱性、ディレクトリトラバーサル攻撃のリスクに警戒

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆...

WordPressプラグインWP Table Managerの4.1.3以前のバージョンにおいて、認証チェックの欠如による重大な脆弱性が発見された。Subscriber以上の権限を持つ認証済みユーザーが、wptm_getFoldersというAJAXアクションを介して任意のファイル名やディレクトリを閲覧できる状態となっており、CVSSv3.1スコアは4.3(MEDIUM)と評価されている。JoomUnited社は既に修正版をリリースしており、早急なアップデートが推奨される。

【CVE-2024-13374】WP Table Manager 4.1.3に認証バイパスの脆...

WordPressプラグインWP Table Managerの4.1.3以前のバージョンにおいて、認証チェックの欠如による重大な脆弱性が発見された。Subscriber以上の権限を持つ認証済みユーザーが、wptm_getFoldersというAJAXアクションを介して任意のファイル名やディレクトリを閲覧できる状態となっており、CVSSv3.1スコアは4.3(MEDIUM)と評価されている。JoomUnited社は既に修正版をリリースしており、早急なアップデートが推奨される。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースからの情報漏洩のリスクが発生

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13369】Tour Masterプラグインに深刻な脆弱性、データベースか...

WordPressのツアー予約プラグインTour Masterにおいて、バージョン5.3.6以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVE-2024-13369として識別されるこの脆弱性は、認証済みユーザーがreview_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出できる可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13353】WordPress用Responsive Addons for Elementorに重大な脆弱性、任意のファイル実行が可能に

【CVE-2024-13353】WordPress用Responsive Addons for...

WordPressプラグイン「Responsive Addons for Elementor」のバージョン1.6.4以前に重大な脆弱性が発見された。CVE-2024-13353として識別されるこの脆弱性は、コントリビューターレベル以上の権限を持つ攻撃者が任意のファイルを実行可能となる危険性がある。CVSSスコア8.8のHighレベルと評価され、早急な対策が必要とされている。

【CVE-2024-13353】WordPress用Responsive Addons for...

WordPressプラグイン「Responsive Addons for Elementor」のバージョン1.6.4以前に重大な脆弱性が発見された。CVE-2024-13353として識別されるこの脆弱性は、コントリビューターレベル以上の権限を持つ攻撃者が任意のファイルを実行可能となる危険性がある。CVSSスコア8.8のHighレベルと評価され、早急な対策が必要とされている。

【CVE-2024-13155】Unlimited Elements For Elementor 1.5.140以前に脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

【CVE-2024-13155】Unlimited Elements For Elemento...

WordPressプラグイン「Unlimited Elements For Elementor」のバージョン1.5.140以前において、認証済みユーザーによる攻撃が可能なクロスサイトスクリプティングの脆弱性が発見された。Transparent Split Hero widgetで入力値の検証が不十分であり、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを埋め込み可能。影響を受けるユーザーは手動でのwidget再インストールが必要となる。

【CVE-2024-13345】WordPressプラグインAvada Builder 3.11.13に脆弱性、未認証の攻撃者による任意のショートコード実行が可能に

【CVE-2024-13345】WordPressプラグインAvada Builder 3.1...

WordPressの人気プラグインAvada Builderにおいて、バージョン3.11.13以前の全てのバージョンで重大な脆弱性が発見された。この脆弱性はCVE-2024-13345として識別され、CVSSスコア7.3のハイリスクと評価されている。未認証の攻撃者が任意のショートコードを実行可能となるため、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2024-13345】WordPressプラグインAvada Builder 3.1...

WordPressの人気プラグインAvada Builderにおいて、バージョン3.11.13以前の全てのバージョンで重大な脆弱性が発見された。この脆弱性はCVE-2024-13345として識別され、CVSSスコア7.3のハイリスクと評価されている。未認証の攻撃者が任意のショートコードを実行可能となるため、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2024-13343】WooCommerce Customers Manager 31.3に特権昇格の脆弱性、認証済みユーザーによる管理者権限取得が可能に

【CVE-2024-13343】WooCommerce Customers Manager 3...

WordPressプラグインWooCommerce Customers Managerのバージョン31.3以前に特権昇格の脆弱性が発見された。ajax_assign_new_roles()関数における権限チェックの欠如により、認証済みのSubscriber以上の権限を持つユーザーが管理者権限まで昇格可能。CVSSスコア8.8のHighレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13343】WooCommerce Customers Manager 3...

WordPressプラグインWooCommerce Customers Managerのバージョン31.3以前に特権昇格の脆弱性が発見された。ajax_assign_new_roles()関数における権限チェックの欠如により、認証済みのSubscriber以上の権限を持つユーザーが管理者権限まで昇格可能。CVSSスコア8.8のHighレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13316】WordPressプラグインScratch & Winに認証回避の脆弱性、未認証ユーザーによるクーポン作成が可能な状態に

【CVE-2024-13316】WordPressプラグインScratch & Winに認証回...

WordPressプラグイン「Scratch & Win - Giveaways and Contests」にて重大な認証回避の脆弱性が発見された。バージョン2.8.0以前のすべてのバージョンで、apmswn_create_discount()関数における認証チェックの欠如により、未認証ユーザーによるクーポン作成が可能となっている。CVSSスコアは5.3(MEDIUM)で、早急な対策が推奨される。

【CVE-2024-13316】WordPressプラグインScratch & Winに認証回...

WordPressプラグイン「Scratch & Win - Giveaways and Contests」にて重大な認証回避の脆弱性が発見された。バージョン2.8.0以前のすべてのバージョンで、apmswn_create_discount()関数における認証チェックの欠如により、未認証ユーザーによるクーポン作成が可能となっている。CVSSスコアは5.3(MEDIUM)で、早急な対策が推奨される。

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効率化を促進

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効...

インテルは2025年2月25日、Performance-cores採用の新型Xeon 6プロセッサーを発表した。データセンターワークロード全般で業界最高水準のパフォーマンスを提供し、AI処理では最大2倍の性能向上を実現。また、ネットワーク向け製品ではvRANブーストにより前世代比で最大2.4倍のRAN容量拡大を達成。高い電力効率により5年前のサーバーと比較して平均5分の1のシステム集約が可能となった。

インテルが新型Xeon 6プロセッサーを発表、AI処理性能が最大2倍に向上しデータセンターの効...

インテルは2025年2月25日、Performance-cores採用の新型Xeon 6プロセッサーを発表した。データセンターワークロード全般で業界最高水準のパフォーマンスを提供し、AI処理では最大2倍の性能向上を実現。また、ネットワーク向け製品ではvRANブーストにより前世代比で最大2.4倍のRAN容量拡大を達成。高い電力効率により5年前のサーバーと比較して平均5分の1のシステム集約が可能となった。

QNAPがSECURITY SHOW 2025に出展、グッドデザイン賞受賞のNVR TVR-AI200を展示へ

QNAPがSECURITY SHOW 2025に出展、グッドデザイン賞受賞のNVR TVR-A...

QNAP株式会社は2025年3月4日から7日まで東京ビッグサイトで開催されるSECURITY SHOW 2025に出展する。ブース番号SS7088にて2024年グッドデザイン賞を受賞した最新NVR TVR-AI200を展示予定。16ポートのPoEスイッチを内蔵し、IPカメラを接続するだけで監視カメラシステムを構築可能な統合ソリューションを提供する。

QNAPがSECURITY SHOW 2025に出展、グッドデザイン賞受賞のNVR TVR-A...

QNAP株式会社は2025年3月4日から7日まで東京ビッグサイトで開催されるSECURITY SHOW 2025に出展する。ブース番号SS7088にて2024年グッドデザイン賞を受賞した最新NVR TVR-AI200を展示予定。16ポートのPoEスイッチを内蔵し、IPカメラを接続するだけで監視カメラシステムを構築可能な統合ソリューションを提供する。

【CVE-2024-13315】Shopwarden 1.0.11にCSRF脆弱性が発見、管理者権限の悪用リスクが浮上

【CVE-2024-13315】Shopwarden 1.0.11にCSRF脆弱性が発見、管理...

WordPressプラグイン「Shopwarden」のバージョン1.0.11以前に深刻な脆弱性が発見された。save_setting()関数でのnonce検証の不備により、攻撃者が管理者にリンクをクリックさせることで任意のオプション更新や権限昇格が可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13315】Shopwarden 1.0.11にCSRF脆弱性が発見、管理...

WordPressプラグイン「Shopwarden」のバージョン1.0.11以前に深刻な脆弱性が発見された。save_setting()関数でのnonce検証の不備により、攻撃者が管理者にリンクをクリックさせることで任意のオプション更新や権限昇格が可能となる。CVSSスコア8.8の高リスク脆弱性として評価され、早急な対応が求められている。