Tech Insights

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザー名列挙のリスクに対応したバージョン4.5.3をリリース

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザ...

GitHubが2025年3月3日に公開したセキュリティアドバイザリによると、アプリケーション開発フレームワークFlask-AppBuilderにおいて、認証されていないユーザーがログインリクエストのレスポンスタイムを利用して既存のユーザー名を列挙できる脆弱性が発見された。CVSSスコアは3.7(Low)と評価されており、バージョン4.5.3で修正が行われている。

【CVE-2025-24023】Flask-AppBuilderに認証バイパスの脆弱性、ユーザ...

GitHubが2025年3月3日に公開したセキュリティアドバイザリによると、アプリケーション開発フレームワークFlask-AppBuilderにおいて、認証されていないユーザーがログインリクエストのレスポンスタイムを利用して既存のユーザー名を列挙できる脆弱性が発見された。CVSSスコアは3.7(Low)と評価されており、バージョン4.5.3で修正が行われている。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画像閲覧が可能に

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-25301】Rembg 2.0.57にSSRF脆弱性、内部ネットワークの画...

GitHubセキュリティラボが画像背景除去ツールRembgの脆弱性を発見。2.0.57以前のバージョンで/api/removeエンドポイントを介したサーバーサイドリクエストフォージェリ(SSRF)が可能。CVSSスコア6.9でMedium評価。特別な権限なく内部ネットワーク上の画像にアクセスできる重大な問題として認識され、早急な対応が推奨されている。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エンティティ参照に関する問題で情報漏洩のリスク

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2025-0162】IBM Aspera Sharesに深刻な脆弱性、XMLの外部エ...

IBMは2025年3月7日、ファイル共有ソリューションIBM Aspera Sharesにおいて、XMLの外部エンティティ参照に関する重大な脆弱性を公開した。バージョン1.9.9から1.10.0 PL7が影響を受け、CVSSスコア7.1のHIGH評価となっている。リモートからの認証済み攻撃者により、機密情報の漏洩やメモリリソースの消費が引き起こされる可能性があり、早急な対応が推奨される。

【CVE-2024-13890】WordPress用プラグインAllow PHP Executeに深刻な脆弱性、エディター権限でPHPコード実行が可能に

【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...

WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。

【CVE-2024-13890】WordPress用プラグインAllow PHP Execut...

WordPressプラグインAllow PHP Executeにおいて、エディター以上の権限を持つユーザーが任意のPHPコードを実行できる重大な脆弱性が発見された。CVE-2024-13890として識別されるこの脆弱性は、CVSSスコア7.2のHighレベルと評価され、バージョン1.0までの全バージョンに影響を与える。機密性、整合性、可用性のすべてに高いリスクをもたらすため、早急な対応が必要とされている。

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性、管理者権限で任意のファイルアップロードが可能に

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...

WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。

【CVE-2024-13908】SMTP by BestWebSoftプラグインに深刻な脆弱性...

WordPressプラグインのSMTP by BestWebSoftにおいて、バージョン1.1.9以前の全てのバージョンで任意のファイルアップロードの脆弱性が発見された。この脆弱性は管理者以上の権限を持つ攻撃者によって悪用される可能性があり、save_options関数においてファイルタイプの検証が不十分であることが原因。CVSSスコアは7.2(HIGH)で、リモートコード実行のリスクがある。

センチュリーが8インチアナログRGBモニターLCD-8000V4を発表、VGA入力とUSBバスパワー駆動に対応した省スペースモデル

センチュリーが8インチアナログRGBモニターLCD-8000V4を発表、VGA入力とUSBバス...

センチュリーは8インチアナログRGBモニター「plus one VGA LCD-8000V4」を発表し、2025年3月中旬より24,800円で発売を開始する。VGA入力に対応し、TN方式ノングレアパネルとLEDバックライトを採用することで鮮明な映像表示を実現。USBバスパワー駆動とACアダプター給電の2WAY電源に対応し、3段階調節チルトスタンドと液晶保護カバーを標準装備した。

センチュリーが8インチアナログRGBモニターLCD-8000V4を発表、VGA入力とUSBバス...

センチュリーは8インチアナログRGBモニター「plus one VGA LCD-8000V4」を発表し、2025年3月中旬より24,800円で発売を開始する。VGA入力に対応し、TN方式ノングレアパネルとLEDバックライトを採用することで鮮明な映像表示を実現。USBバスパワー駆動とACアダプター給電の2WAY電源に対応し、3段階調節チルトスタンドと液晶保護カバーを標準装備した。

ニコニコ動画が音声ビットレートを最大576kbpsに引き上げ、PCM/FLACコーデックにも対応しプレミアム会員向けに高音質配信へ

ニコニコ動画が音声ビットレートを最大576kbpsに引き上げ、PCM/FLACコーデックにも対...

ニコニコ動画は2025年3月11日より、サーバーエンコード時の音声ビットレートを最大576kbpsまで引き上げ、PCM/FLACコーデックでの投稿にも対応する機能強化を実施。高音質データはプレミアム会員限定で提供され、4月上旬のPC版を皮切りにアプリ版やボカコレアプリでも順次展開予定。この機能強化により、音楽動画やボーカロイド作品などの視聴体験が大きく向上することが期待される。

ニコニコ動画が音声ビットレートを最大576kbpsに引き上げ、PCM/FLACコーデックにも対...

ニコニコ動画は2025年3月11日より、サーバーエンコード時の音声ビットレートを最大576kbpsまで引き上げ、PCM/FLACコーデックでの投稿にも対応する機能強化を実施。高音質データはプレミアム会員限定で提供され、4月上旬のPC版を皮切りにアプリ版やボカコレアプリでも順次展開予定。この機能強化により、音楽動画やボーカロイド作品などの視聴体験が大きく向上することが期待される。

IIJと河村電器産業が生成AI対応のモジュール型エッジデータセンターを共同開発、45kW大容量電力供給で短納期設置を実現

IIJと河村電器産業が生成AI対応のモジュール型エッジデータセンターを共同開発、45kW大容量...

IIJと河村電器産業は2025年3月11日、生成AI用GPU搭載サーバーに対応可能なモジュール型エッジデータセンターを共同開発したと発表した。1モジュールあたり45kWの電力供給能力を持ち、幅120cm、奥行200cm、高さ230cmのコンパクトな筐体で、建築確認申請が原則不要。Data Center Japan 2025での試作品展示とPoVパートナー募集を開始し、2025年度下期の製品化を目指す。

IIJと河村電器産業が生成AI対応のモジュール型エッジデータセンターを共同開発、45kW大容量...

IIJと河村電器産業は2025年3月11日、生成AI用GPU搭載サーバーに対応可能なモジュール型エッジデータセンターを共同開発したと発表した。1モジュールあたり45kWの電力供給能力を持ち、幅120cm、奥行200cm、高さ230cmのコンパクトな筐体で、建築確認申請が原則不要。Data Center Japan 2025での試作品展示とPoVパートナー募集を開始し、2025年度下期の製品化を目指す。

MCデジタル・リアルティら4社がデータセンター内でGPU計算力提供サービスを開始、AIプロダクト開発の効率化に貢献

MCデジタル・リアルティら4社がデータセンター内でGPU計算力提供サービスを開始、AIプロダク...

MCデジタル・リアルティ、モルゲンロット、マクニカ、菱洋エレクトロの4社が、NRTキャンパスとKIXキャンパスでGPU計算力提供サービス「AI XCHANGE powered by Cloud Bouquet」を開始すると発表した。モルゲンロットのCloud Bouquet技術を活用し、マクニカと菱洋エレクトロが保有するGPUサーバーの計算力リソースを1枚・1時間単位から提供する。超低レイテンシかつセキュアな環境でのAI開発が可能となる。

MCデジタル・リアルティら4社がデータセンター内でGPU計算力提供サービスを開始、AIプロダク...

MCデジタル・リアルティ、モルゲンロット、マクニカ、菱洋エレクトロの4社が、NRTキャンパスとKIXキャンパスでGPU計算力提供サービス「AI XCHANGE powered by Cloud Bouquet」を開始すると発表した。モルゲンロットのCloud Bouquet技術を活用し、マクニカと菱洋エレクトロが保有するGPUサーバーの計算力リソースを1枚・1時間単位から提供する。超低レイテンシかつセキュアな環境でのAI開発が可能となる。

バッファローが法人向けNAS TeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対策を強化

バッファローが法人向けNAS TeraStationシリーズに不変スナップショット機能を追加、...

株式会社バッファローは2025年3月12日、法人向けNAS「TeraStation」シリーズに新機能「不変スナップショット機能」を追加した。この機能は作成されたスナップショットを一定期間保護し、管理者権限でも削除・変更を不可能にすることで、ランサムウェア攻撃からバックアップデータを守る。対象機種はTS51220RHなど8機種で、ファームウェアアップデートにより無料で利用可能となる。

バッファローが法人向けNAS TeraStationシリーズに不変スナップショット機能を追加、...

株式会社バッファローは2025年3月12日、法人向けNAS「TeraStation」シリーズに新機能「不変スナップショット機能」を追加した。この機能は作成されたスナップショットを一定期間保護し、管理者権限でも削除・変更を不可能にすることで、ランサムウェア攻撃からバックアップデータを守る。対象機種はTS51220RHなど8機種で、ファームウェアアップデートにより無料で利用可能となる。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報流出の可能性

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

おやつカンパニーでシステムサーバーへの不正アクセス被害、キャンペーン当選者17万人分の個人情報...

おやつカンパニーは2025年3月12日、同社のシステムサーバーが3月3日に不正アクセスを受け、2012年から2025年の期間中にキャンペーンで当選した顧客約17万人分の個人情報が流出した可能性があると発表した。流出の可能性がある情報は氏名、住所、電話番号で、従業員450名分の勤怠管理情報も影響を受けた可能性がある。現時点で情報の不正利用や二次被害は確認されていない。

GoogleがDocsの暗号化文書のWordエクスポート機能をベータ版で提供開始、セキュアなファイル共有が可能に

GoogleがDocsの暗号化文書のWordエクスポート機能をベータ版で提供開始、セキュアなフ...

GoogleはGoogle Workspace Enterprise Plus等の特定プランを対象に、クライアントサイド暗号化されたGoogle DocsファイルをMicrosoft Word形式でエクスポートできる機能をベータ版として公開した。組織は暗号化キーを保持したまま必要に応じてWordファイル形式での出力が可能になり、サードパーティからの不正アクセスを防ぎながらファイル形式の変換が実現できる。

GoogleがDocsの暗号化文書のWordエクスポート機能をベータ版で提供開始、セキュアなフ...

GoogleはGoogle Workspace Enterprise Plus等の特定プランを対象に、クライアントサイド暗号化されたGoogle DocsファイルをMicrosoft Word形式でエクスポートできる機能をベータ版として公開した。組織は暗号化キーを保持したまま必要に応じてWordファイル形式での出力が可能になり、サードパーティからの不正アクセスを防ぎながらファイル形式の変換が実現できる。

グラフトンノートがC-POPでAmazon DSPのConversions APIに対応、国内最多8媒体との連携でマーケティング効率が向上

グラフトンノートがC-POPでAmazon DSPのConversions APIに対応、国内...

グラフトンノートのコンバージョンAPI対応ツール「C-POP」がAmazon DSPのConversions APIへの対応を開始。Meta広告、X広告、Yahoo!ディスプレイ広告など、国内最多となる8媒体との連携が可能になった。タグ設置だけでAPI連携が完了する仕組みにより、企業の開発負担を大幅に軽減。月額5,000円からの利用で、より効率的なマーケティング活動を実現する。

グラフトンノートがC-POPでAmazon DSPのConversions APIに対応、国内...

グラフトンノートのコンバージョンAPI対応ツール「C-POP」がAmazon DSPのConversions APIへの対応を開始。Meta広告、X広告、Yahoo!ディスプレイ広告など、国内最多となる8媒体との連携が可能になった。タグ設置だけでAPI連携が完了する仕組みにより、企業の開発負担を大幅に軽減。月額5,000円からの利用で、より効率的なマーケティング活動を実現する。

インヴェンティットがmobiconnect Ver.31.18をリリース、宣言型デバイス管理の実装で教育DXが加速

インヴェンティットがmobiconnect Ver.31.18をリリース、宣言型デバイス管理の...

インヴェンティット株式会社がMDMソリューション「mobiconnect」の最新バージョン(Ver.31.18)をリリースした。宣言型デバイス管理が実装され、デバイス自身がポリシーを理解・判断し必要な変更を適用可能になった。また、ロック画面のメッセージ設定機能やUIバージョン3における最近のジョブ画面の追加など、ユーザビリティの向上も図られている。教育現場でのデジタル学習環境の整備に貢献する機能強化となる。

インヴェンティットがmobiconnect Ver.31.18をリリース、宣言型デバイス管理の...

インヴェンティット株式会社がMDMソリューション「mobiconnect」の最新バージョン(Ver.31.18)をリリースした。宣言型デバイス管理が実装され、デバイス自身がポリシーを理解・判断し必要な変更を適用可能になった。また、ロック画面のメッセージ設定機能やUIバージョン3における最近のジョブ画面の追加など、ユーザビリティの向上も図られている。教育現場でのデジタル学習環境の整備に貢献する機能強化となる。

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対策を強化

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対...

株式会社バッファローは2025年3月12日より、法人向けNAS「TeraStationシリーズ」において不変スナップショット機能の提供を開始した。この機能により、作成されたスナップショットを一定期間削除・変更できないよう保護することが可能となり、管理者権限が乗っ取られた場合でもバックアップデータを守ることができる。対応機種は主要なTeraStationモデルで、ファームウェアアップデートにより無料で利用可能だ。

バッファローがTeraStationシリーズに不変スナップショット機能を追加、ランサムウェア対...

株式会社バッファローは2025年3月12日より、法人向けNAS「TeraStationシリーズ」において不変スナップショット機能の提供を開始した。この機能により、作成されたスナップショットを一定期間削除・変更できないよう保護することが可能となり、管理者権限が乗っ取られた場合でもバックアップデータを守ることができる。対応機種は主要なTeraStationモデルで、ファームウェアアップデートにより無料で利用可能だ。

株式会社Stockの情報管理ツールが導入30万社を突破、シンプルな操作性とスピーディーな対応で非IT企業から支持

株式会社Stockの情報管理ツールが導入30万社を突破、シンプルな操作性とスピーディーな対応で...

株式会社Stockが開発・提供する情報管理ツール「Stock」の導入社数が30万社を突破した。ITに不慣れな65歳以上のユーザーでも即日利用可能なシンプルさと、数分〜数時間以内の問い合わせ対応が特徴。2024年からは100名以上の企業向けに新プロダクト「ナレカン」の提供を開始し、生成AIを活用した自然言語検索機能で情報アクセスの即時性を実現している。

株式会社Stockの情報管理ツールが導入30万社を突破、シンプルな操作性とスピーディーな対応で...

株式会社Stockが開発・提供する情報管理ツール「Stock」の導入社数が30万社を突破した。ITに不慣れな65歳以上のユーザーでも即日利用可能なシンプルさと、数分〜数時間以内の問い合わせ対応が特徴。2024年からは100名以上の企業向けに新プロダクト「ナレカン」の提供を開始し、生成AIを活用した自然言語検索機能で情報アクセスの即時性を実現している。

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性、中間者攻撃のリスクが明らかに

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...

Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。

【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...

Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が露出する脆弱性が発見、他の脆弱性と組み合わさることで深刻な被害の可能性も

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサイトスクリプティングの脆弱性、投稿者権限で悪用の可能性

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性、認証不要で悪用可能な状態に

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性、ユーザープロフィール写真の無断削除が可能な状態に

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...

WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...

WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正アクセスによる設定改ざんのリスクが発覚

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...

YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...

YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部サービスアクセスが可能に

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、登録済みユーザーによる情報漏洩のリスクに警鐘

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による再帰的クローリングが可能に

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...

GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バージョン7.4.2以前のユーザーに影響

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...

Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完了しアップデート推奨

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...

GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のファイルアップロードが可能な重大な問題に

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...

WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。

【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...

WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。