Tech Insights

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性、管理者権限での不正操作が可能に

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性...

WordPressプラグインDeBounce Email Validatorの全バージョン(5.6.6以前)にクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、設定の更新や悪意のあるスクリプトの実行が可能となる。CVSSスコアは6.1(中)と評価されており、早急な対策が求められている。

【CVE-2024-13339】DeBounce Email Validatorに深刻な脆弱性...

WordPressプラグインDeBounce Email Validatorの全バージョン(5.6.6以前)にクロスサイトリクエストフォージェリの脆弱性が発見された。この脆弱性により、攻撃者は管理者に特定のリンクをクリックさせることで、設定の更新や悪意のあるスクリプトの実行が可能となる。CVSSスコアは6.1(中)と評価されており、早急な対策が求められている。

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5にXSS脆弱性、特権ユーザーによる攻撃に注意

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5...

WordPressプラグイン「Events Calendar Made Simple - Pie Calendar」のバージョン1.2.5以前に、格納型クロスサイトスクリプティングの脆弱性が存在することが判明した。Contributor以上の権限を持つユーザーによって悪意のあるスクリプトが挿入され、サイト訪問者の環境で実行される可能性がある。CVSSスコアは6.4(Medium)で、早急なアップデートが推奨される。

【CVE-2025-1410】WordPressプラグインPie Calendar 1.2.5...

WordPressプラグイン「Events Calendar Made Simple - Pie Calendar」のバージョン1.2.5以前に、格納型クロスサイトスクリプティングの脆弱性が存在することが判明した。Contributor以上の権限を持つユーザーによって悪意のあるスクリプトが挿入され、サイト訪問者の環境で実行される可能性がある。CVSSスコアは6.4(Medium)で、早急なアップデートが推奨される。

【CVE-2024-13461】Autoship Cloud for WooCommerceに深刻な脆弱性、認証済みユーザーからの攻撃が可能に

【CVE-2024-13461】Autoship Cloud for WooCommerceに...

WordfenceはAutoship Cloud for WooCommerce Subscription Productsプラグインのバージョン2.8.0以前に格納型クロスサイトスクリプティングの脆弱性が存在することを報告した。この脆弱性により、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能な状態となっており、ユーザーがページにアクセスした際に不正なスクリプトが実行される可能性がある。CVSSスコアは6.4と評価されている。

【CVE-2024-13461】Autoship Cloud for WooCommerceに...

WordfenceはAutoship Cloud for WooCommerce Subscription Productsプラグインのバージョン2.8.0以前に格納型クロスサイトスクリプティングの脆弱性が存在することを報告した。この脆弱性により、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能な状態となっており、ユーザーがページにアクセスした際に不正なスクリプトが実行される可能性がある。CVSSスコアは6.4と評価されている。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery 1.3に深刻な脆弱性、認証済みユーザーによるXSS攻撃が可能に

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

【CVE-2024-13751】WordPress用プラグイン3D Photo Gallery...

WordPressのセキュリティ企業Wordfenceは2025年2月21日、プラグイン「3D Photo Gallery」にバージョン1.3までの全バージョンでクロスサイトスクリプティング脆弱性が存在することを公開した。Subscriberレベル以上の権限を持つユーザーが悪用可能で、des[]パラメータを介して任意のWebスクリプトを注入できる仕組みとなっている。CVSSスコアは6.4(Medium)と評価されており、早急な対策が必要。

JR東日本が新Suica改札システムを発表、高崎支社管内で2025年度から本格導入へ

JR東日本が新Suica改札システムを発表、高崎支社管内で2025年度から本格導入へ

JR東日本は2025年2月26日、センターサーバー方式を採用した新しいSuica改札システムを高崎支社管内に導入することを発表した。2025年8月から神保原駅を皮切りに、2026年度までに全34駅136通路への設置を完了させる計画だ。独自開発の運搬台車「Kai-Un」の活用により、作業効率化と働き方改革も推進する。

JR東日本が新Suica改札システムを発表、高崎支社管内で2025年度から本格導入へ

JR東日本は2025年2月26日、センターサーバー方式を採用した新しいSuica改札システムを高崎支社管内に導入することを発表した。2025年8月から神保原駅を皮切りに、2026年度までに全34駅136通路への設置を完了させる計画だ。独自開発の運搬台車「Kai-Un」の活用により、作業効率化と働き方改革も推進する。

DXYZのFreeiDと宮川製作所のKnoctoi Liteが連携開始、顔認証技術の普及拡大へ向け協業を強化

DXYZのFreeiDと宮川製作所のKnoctoi Liteが連携開始、顔認証技術の普及拡大へ...

DXYZ株式会社と株式会社宮川製作所は、顔認証IDプラットフォーム「FreeiD」とAI顔認証エンジン「FaceMe」搭載の顔認証端末「Knoctoi Lite」の連携を開始。顔認証とICカード認証を組み合わせた二要素認証により、高度なセキュリティを実現。エッジ認証方式の採用でプライバシー保護と高速認証を両立し、2025年3月のSECURITY SHOWでの出展も予定している。

DXYZのFreeiDと宮川製作所のKnoctoi Liteが連携開始、顔認証技術の普及拡大へ...

DXYZ株式会社と株式会社宮川製作所は、顔認証IDプラットフォーム「FreeiD」とAI顔認証エンジン「FaceMe」搭載の顔認証端末「Knoctoi Lite」の連携を開始。顔認証とICカード認証を組み合わせた二要素認証により、高度なセキュリティを実現。エッジ認証方式の採用でプライバシー保護と高速認証を両立し、2025年3月のSECURITY SHOWでの出展も予定している。

ELSOUL LABOが専用ベアメタルノードTuned Bare-Metalを公開、Solanaバリデータの安定稼働とパフォーマンス向上を実現

ELSOUL LABOが専用ベアメタルノードTuned Bare-Metalを公開、Solan...

ELSOUL LABO B.V.が新サービス「Tuned Bare-Metal」を公開した。BIOSレベルでのCPU最適化やターボブースト機能の有効化により、サーバーリソースを最大限活用。高性能プロキシと複数ノード間のワークロード分散で大量アクセスにも対応し、Solanaバリデータ・RPCノードの安定稼働を実現している。DeFi、NFT、GameFiなど多様なユースケースに対応し、ブロックチェーンインフラの発展に貢献する。

ELSOUL LABOが専用ベアメタルノードTuned Bare-Metalを公開、Solan...

ELSOUL LABO B.V.が新サービス「Tuned Bare-Metal」を公開した。BIOSレベルでのCPU最適化やターボブースト機能の有効化により、サーバーリソースを最大限活用。高性能プロキシと複数ノード間のワークロード分散で大量アクセスにも対応し、Solanaバリデータ・RPCノードの安定稼働を実現している。DeFi、NFT、GameFiなど多様なユースケースに対応し、ブロックチェーンインフラの発展に貢献する。

ハイレゾがDeepSeek-R1活用のウェビナーを開催、ファインチューニングとRAG構築の実演でGPUクラウドの活用法を解説

ハイレゾがDeepSeek-R1活用のウェビナーを開催、ファインチューニングとRAG構築の実演...

ハイレゾは2025年3月26日にDeepSeek-R1のファインチューニングとRAG構築の実演を含むGPUクラウド活用ウェビナーを開催する。業界最安級のGPUクラウド「GPUSOROBAN」の具体的な利用事例も紹介され、IT業界から製造業、建設業、大学研究機関まで幅広い分野での活用方法が解説される。2,000件を超える利用実績を持つGPUSOROBANを通じて、高性能なGPUサーバーを低コストで提供する。

ハイレゾがDeepSeek-R1活用のウェビナーを開催、ファインチューニングとRAG構築の実演...

ハイレゾは2025年3月26日にDeepSeek-R1のファインチューニングとRAG構築の実演を含むGPUクラウド活用ウェビナーを開催する。業界最安級のGPUクラウド「GPUSOROBAN」の具体的な利用事例も紹介され、IT業界から製造業、建設業、大学研究機関まで幅広い分野での活用方法が解説される。2,000件を超える利用実績を持つGPUSOROBANを通じて、高性能なGPUサーバーを低コストで提供する。

セキュアヴェイルがLogStare Collector 2.4.1を提供開始、Microsoft Azureの監視機能が大幅に向上

セキュアヴェイルがLogStare Collector 2.4.1を提供開始、Microsof...

セキュアヴェイルの子会社LogStareは、セキュリティ運用ソフトウェア「LogStare Collector 2.4.1」の提供を2025年2月27日より開始した。メトリクス監視機能とメトリクス収集機能が強化され、Azure MonitorのLog Analyticsからログを収集可能になった。Authorizationヘッダ対応により、Windowsサーバーのイベントログやパフォーマンスカウンターのデータ監視が実現している。

セキュアヴェイルがLogStare Collector 2.4.1を提供開始、Microsof...

セキュアヴェイルの子会社LogStareは、セキュリティ運用ソフトウェア「LogStare Collector 2.4.1」の提供を2025年2月27日より開始した。メトリクス監視機能とメトリクス収集機能が強化され、Azure MonitorのLog Analyticsからログを収集可能になった。Authorizationヘッダ対応により、Windowsサーバーのイベントログやパフォーマンスカウンターのデータ監視が実現している。

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管理が可能に

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管...

ソラコムのクラウド型カメラサービス「ソラカメ」が、ウェザーニューズの法人向け気象情報サービス「ウェザーニュース for business」に採用された。気象IoTセンサー「ソラテナPro」との併用により、拠点ごとの気象データと映像情報の一元管理が可能になり、異常気象発生時の迅速な対応や気象状況を考慮したビジネスの効率化を実現する。

ウェザーニューズが法人向け気象サービスにソラカメを採用、リアルタイム映像による気象監視と拠点管...

ソラコムのクラウド型カメラサービス「ソラカメ」が、ウェザーニューズの法人向け気象情報サービス「ウェザーニュース for business」に採用された。気象IoTセンサー「ソラテナPro」との併用により、拠点ごとの気象データと映像情報の一元管理が可能になり、異常気象発生時の迅速な対応や気象状況を考慮したビジネスの効率化を実現する。

GMOインターネットがGPUクラウドにNVIDIA MIG技術を統合、GPUリソースの最適化と利用効率の向上を実現

GMOインターネットがGPUクラウドにNVIDIA MIG技術を統合、GPUリソースの最適化と...

GMOインターネット株式会社は2025年2月21日、GPUクラウドサービス「GMO GPUクラウド」にNVIDIA Multi-Instance GPU(MIG)テクノロジーを統合した。専用プランのユーザーは追加料金なしでGPUを最大7つの独立したインスタンスに分割して利用できる。TOP500で世界第37位にランクインした高性能なNVIDIA H200 GPUを搭載し、リソース利用の最適化とコストパフォーマンスの向上を実現する。

GMOインターネットがGPUクラウドにNVIDIA MIG技術を統合、GPUリソースの最適化と...

GMOインターネット株式会社は2025年2月21日、GPUクラウドサービス「GMO GPUクラウド」にNVIDIA Multi-Instance GPU(MIG)テクノロジーを統合した。専用プランのユーザーは追加料金なしでGPUを最大7つの独立したインスタンスに分割して利用できる。TOP500で世界第37位にランクインした高性能なNVIDIA H200 GPUを搭載し、リソース利用の最適化とコストパフォーマンスの向上を実現する。

Microsoftが無料版Copilotに音声機能とThink Deeper機能を追加、AIアシスタントの利便性が大幅に向上

Microsoftが無料版Copilotに音声機能とThink Deeper機能を追加、AIア...

Microsoftは米国時間2月25日、無料版Copilotで「Voice」機能と「Think Deeper」機能への無制限アクセスを開始した。音声でのCopilotとの対話が可能になり、OpenAIのo1モデルを活用した高度な推論機能により複雑な質問への対応も実現。Copilot Proユーザーは優先アクセスや追加特典を維持し、より高度な活用が可能となる。

Microsoftが無料版Copilotに音声機能とThink Deeper機能を追加、AIア...

Microsoftは米国時間2月25日、無料版Copilotで「Voice」機能と「Think Deeper」機能への無制限アクセスを開始した。音声でのCopilotとの対話が可能になり、OpenAIのo1モデルを活用した高度な推論機能により複雑な質問への対応も実現。Copilot Proユーザーは優先アクセスや追加特典を維持し、より高度な活用が可能となる。

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート終了対応とライブラリの拡充が進展

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...

MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。

MicrosoftがAzure SDKの2月アップデートを発表、Node.js 18のサポート...

MicrosoftはAzure SDKの2025年2月アップデートを発表し、Node.js 18のサポート終了への対応方針を明確化した。セキュリティアップデートとバグ修正の継続的な提供のため、最新バージョンへの移行を推奨。また、Compute ScheduleやIoT Operations、Pinecone Vector DBなど、複数の安定版とベータ版ライブラリを.NET、Go、Java、JavaScript、Python向けにリリースし、開発環境の強化を図る。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windows全バージョンに影響

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2025-21369】MicrosoftのDigest認証に重大な脆弱性、Windo...

Microsoftは2025年2月11日、Windows OSのDigest認証機能においてリモートコード実行が可能な重大な脆弱性を公開した。CVSSスコア8.8を記録するこの脆弱性は、Windows Server 2008からWindows 11まで幅広いバージョンに影響を与える。ヒープベースのバッファオーバーフローと整数オーバーフローに関連する問題として分類されており、早急な対応が求められている。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPress用プラグインのセキュリティリスクが浮き彫りに

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

【CVE-2024-13539】AForms Eatsにフルパス情報漏洩の脆弱性、WordPr...

WordPressプラグインのAForms Eatsにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。/vendor/aura/payload-interface/phpunit.phpファイルが公にアクセス可能で、エラーメッセージを通じてWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3(MEDIUM)と評価され、認証不要かつ攻撃の複雑さも低いため、早急な対応が求められている。

OpenAIがdeep research機能をChatGPT Plusに展開、月額20ドルで高度な調査機能が利用可能に

OpenAIがdeep research機能をChatGPT Plusに展開、月額20ドルで高...

OpenAIは2025年2月25日、詳細な調査機能「deep research」をChatGPT Plusユーザーにも提供開始した。月額20ドルで月10回まで利用可能で、Webソースから包括的なレポートを自動生成できる。ChatGPT Pro版の月200回と比べ制限はあるものの、手頃な価格で高度なAI調査機能を実現。System Cardでの安全対策も公開され、プライバシー保護も強化している。

OpenAIがdeep research機能をChatGPT Plusに展開、月額20ドルで高...

OpenAIは2025年2月25日、詳細な調査機能「deep research」をChatGPT Plusユーザーにも提供開始した。月額20ドルで月10回まで利用可能で、Webソースから包括的なレポートを自動生成できる。ChatGPT Pro版の月200回と比べ制限はあるものの、手頃な価格で高度なAI調査機能を実現。System Cardでの安全対策も公開され、プライバシー保護も強化している。

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラ株式会社は2025年2月25日、ファイルストレージ「VSP One File」の販売を開始した。データプラットフォーム「VSP One」の機能拡充により、企業内の散在データを集約・統合可能になる。高速レスポンス、最大1,024世代のスナップショット機能、平均75%のデータ削減率など、企業の生産性向上に寄与する機能を搭載している。

日立ヴァンタラがファイルストレージVSP One Fileを販売開始、企業データの統合管理基盤を強化

日立ヴァンタラ株式会社は2025年2月25日、ファイルストレージ「VSP One File」の販売を開始した。データプラットフォーム「VSP One」の機能拡充により、企業内の散在データを集約・統合可能になる。高速レスポンス、最大1,024世代のスナップショット機能、平均75%のデータ削減率など、企業の生産性向上に寄与する機能を搭載している。

KDDIが最先端GPUサーバー向けのAIデータセンター技術検証環境を渋谷に開設、高効率な冷却技術の確立へ

KDDIが最先端GPUサーバー向けのAIデータセンター技術検証環境を渋谷に開設、高効率な冷却技...

KDDIは2025年4月、KDDI Telehouse渋谷データセンター内に最先端GPUサーバー向けの技術検証環境を開設する。最大電源容量300kVA、最大冷却能力300kWを備え、NVIDIA GB200 NVL72を想定した検証が可能だ。直接液冷方式に対応したサーバーとGPUを模擬した高発熱装置を組み合わせ、新しい冷却技術の確立や高効率な電源設備の開発を目指す。

KDDIが最先端GPUサーバー向けのAIデータセンター技術検証環境を渋谷に開設、高効率な冷却技...

KDDIは2025年4月、KDDI Telehouse渋谷データセンター内に最先端GPUサーバー向けの技術検証環境を開設する。最大電源容量300kVA、最大冷却能力300kWを備え、NVIDIA GB200 NVL72を想定した検証が可能だ。直接液冷方式に対応したサーバーとGPUを模擬した高発熱装置を組み合わせ、新しい冷却技術の確立や高効率な電源設備の開発を目指す。

ベクストが新自動要約システムVextResume+ powered by Local SLMをリリース、オンプレミス環境での高精度要約を実現

ベクストが新自動要約システムVextResume+ powered by Local SLMを...

ベクスト株式会社は2025年2月26日、インターネットから遮断されたオンプレ閉域環境でも利用可能な自動要約ソリューション「VextResume+ powered by Local SLM」をリリースした。独自の自然言語処理技術と小規模言語モデルを組み合わせ、音声認識テキストの高精度な要約を実現。ハルシネーション検知や個人情報マスキングなどのセキュリティ機能も搭載され、コンタクトセンター業務の効率化に貢献する。

ベクストが新自動要約システムVextResume+ powered by Local SLMを...

ベクスト株式会社は2025年2月26日、インターネットから遮断されたオンプレ閉域環境でも利用可能な自動要約ソリューション「VextResume+ powered by Local SLM」をリリースした。独自の自然言語処理技術と小規模言語モデルを組み合わせ、音声認識テキストの高精度な要約を実現。ハルシネーション検知や個人情報マスキングなどのセキュリティ機能も搭載され、コンタクトセンター業務の効率化に貢献する。

アイデミーがAidemy Businessで新規4コースを公開、AI倫理やDify活用術で企業のDX人材育成を加速

アイデミーがAidemy Businessで新規4コースを公開、AI倫理やDify活用術で企業...

株式会社アイデミーは法人向けオンラインDXラーニング「Aidemy Business」において、AI倫理やDify活用術など全4コースを2025年2月25日に新規公開した。AI開発者、サービス提供者、利用者それぞれの立場からAIの倫理的責任を学べるコンテンツや、プログラミング不要のAIアプリケーション開発ツールDifyの活用法など、デジタル変革時代に必要なスキルを網羅的に学習できる環境を提供している。

アイデミーがAidemy Businessで新規4コースを公開、AI倫理やDify活用術で企業...

株式会社アイデミーは法人向けオンラインDXラーニング「Aidemy Business」において、AI倫理やDify活用術など全4コースを2025年2月25日に新規公開した。AI開発者、サービス提供者、利用者それぞれの立場からAIの倫理的責任を学べるコンテンツや、プログラミング不要のAIアプリケーション開発ツールDifyの活用法など、デジタル変革時代に必要なスキルを網羅的に学習できる環境を提供している。

【CVE-2025-1356】needyamin Library Card System 1.0にSQLインジェクションの脆弱性、利用者情報漏洩のリスクが浮上

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-1356】needyamin Library Card System 1....

セキュリティ研究者により、needyamin Library Card System 1.0のcard.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価される本脆弱性は、id引数の操作によりリモートからの攻撃が可能で、利用者情報の漏洩やシステムの改ざんのリスクが指摘されている。開発元は現時点で対応を行っておらず、早急な対策が求められる状況だ。

【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セッションハイジャックのリスクが深刻化

【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セ...

ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、グループエディタページの説明フィールドにストアドXSS脆弱性が発見された。管理者権限を持つ攻撃者が悪意のあるJavaScriptを挿入することで、認証済みユーザーのセッション情報を外部に送信可能。CVSSスコア8.4のHigh評価を受けており、情報漏洩やセッションハイジャックのリスクが指摘されている。

【CVE-2025-0981】ChurchCRM 5.13.0にストアドXSS脆弱性が発見、セ...

ChurchCRM 5.13.0およびそれ以前のバージョンにおいて、グループエディタページの説明フィールドにストアドXSS脆弱性が発見された。管理者権限を持つ攻撃者が悪意のあるJavaScriptを挿入することで、認証済みユーザーのセッション情報を外部に送信可能。CVSSスコア8.4のHigh評価を受けており、情報漏洩やセッションハイジャックのリスクが指摘されている。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済みユーザーによる任意のファイル読み取りが可能に

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサルの脆弱性、WordPressサイトのセキュリティリスクが深刻化

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理者権限で重要情報漏洩の危険性

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理...

WordPressプラグインのBit Assistにパストラバーサルの脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のファイル内容を読み取ることが可能となる。CVSSスコアは4.9でMEDIUMレベルと評価され、重要情報漏洩のリスクが指摘されている。

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理...

WordPressプラグインのBit Assistにパストラバーサルの脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のファイル内容を読み取ることが可能となる。CVSSスコアは4.9でMEDIUMレベルと評価され、重要情報漏洩のリスクが指摘されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。