Tech Insights
HPがデジタル印刷の革新的ソリューションを発表、AI活用で書籍製造の効率化と環境負荷低減を実現
HPが2025年2月24日にHunkeler Innovationdays 2025で革新的なデジタル印刷ソリューションを発表した。HP IndigoとHP PageWideシリーズに新たなソリューションを導入し、AIを活用したインテリジェントオートメーション機能により1時間750冊の書籍製造を実現。次世代サプライ製品により廃棄物とCO2排出量を削減しながら、月間最大6時間の作業時間短縮を達成している。
HPがデジタル印刷の革新的ソリューションを発表、AI活用で書籍製造の効率化と環境負荷低減を実現
HPが2025年2月24日にHunkeler Innovationdays 2025で革新的なデジタル印刷ソリューションを発表した。HP IndigoとHP PageWideシリーズに新たなソリューションを導入し、AIを活用したインテリジェントオートメーション機能により1時間750冊の書籍製造を実現。次世代サプライ製品により廃棄物とCO2排出量を削減しながら、月間最大6時間の作業時間短縮を達成している。
INTLOOPが物流DX向けバース予約管理システムを開発、AITRIOSプラットフォームを活用...
INTLOOP株式会社は物流業界のDXを推進する独自のバース予約管理システムの開発に着手した。ソニーセミコンダクタソリューションズのAITRIOSプラットフォームを活用し、2024年問題やeコマース市場の成長による物流業界の課題解決を目指す。三井倉庫サプライチェーンソリューション株式会社との連携により、実務に即した機能を実装し、物流業界全体の生産性向上に貢献する。
INTLOOPが物流DX向けバース予約管理システムを開発、AITRIOSプラットフォームを活用...
INTLOOP株式会社は物流業界のDXを推進する独自のバース予約管理システムの開発に着手した。ソニーセミコンダクタソリューションズのAITRIOSプラットフォームを活用し、2024年問題やeコマース市場の成長による物流業界の課題解決を目指す。三井倉庫サプライチェーンソリューション株式会社との連携により、実務に即した機能を実装し、物流業界全体の生産性向上に貢献する。
建設DX企業Arentが建設業界のBIM活用実態調査を実施、導入企業の約3割で活用が進展
建設DXを推進するArentが2024年7月から12月にかけてBIMの導入状況や活用実態に関する調査を実施。BIMを導入している企業の約3割が積極的に活用しており、従業員100名以下の企業でも約40%が効果的な活用を実現。クラウド型BIMやサブスクリプションモデルの普及が、特に中小企業での活用を促進している。
建設DX企業Arentが建設業界のBIM活用実態調査を実施、導入企業の約3割で活用が進展
建設DXを推進するArentが2024年7月から12月にかけてBIMの導入状況や活用実態に関する調査を実施。BIMを導入している企業の約3割が積極的に活用しており、従業員100名以下の企業でも約40%が効果的な活用を実現。クラウド型BIMやサブスクリプションモデルの普及が、特に中小企業での活用を促進している。
グローバルハーモニーとオーダースーツSADAがAIコンテストを開催、ファッションとテクノロジー...
グローバルハーモニー株式会社とオーダースーツSADAが共同で「ミスターAIコンテスト」を開催。AI画像部門とAI動画部門の2部門で総額40万円の賞金を提供し、3月20日から作品募集を開始する。AIが生み出す洗練されたスーツスタイルを通じて、オーダースーツの新たな可能性を探求し、未来のファッション表現を世界に発信する意欲的な取り組みだ。
グローバルハーモニーとオーダースーツSADAがAIコンテストを開催、ファッションとテクノロジー...
グローバルハーモニー株式会社とオーダースーツSADAが共同で「ミスターAIコンテスト」を開催。AI画像部門とAI動画部門の2部門で総額40万円の賞金を提供し、3月20日から作品募集を開始する。AIが生み出す洗練されたスーツスタイルを通じて、オーダースーツの新たな可能性を探求し、未来のファッション表現を世界に発信する意欲的な取り組みだ。
三井住友カードがMaaSプラットフォームとPass Caseを提供開始、全国の交通システムをシ...
三井住友カードは2025年3月13日より、クレジットカード等のタッチ決済による公共交通機関向けソリューション「stera transit」の基盤を活用したMaaSプラットフォームの稼働を開始する。全国39都道府県、180の事業者での導入が予定されており、定期サービスや住民割引などの機能を提供。第一弾として江ノ島電鉄の1日乗車券「のりおりくん」の取り扱いを開始する。
三井住友カードがMaaSプラットフォームとPass Caseを提供開始、全国の交通システムをシ...
三井住友カードは2025年3月13日より、クレジットカード等のタッチ決済による公共交通機関向けソリューション「stera transit」の基盤を活用したMaaSプラットフォームの稼働を開始する。全国39都道府県、180の事業者での導入が予定されており、定期サービスや住民割引などの機能を提供。第一弾として江ノ島電鉄の1日乗車券「のりおりくん」の取り扱いを開始する。
パワーエックスがQ.ENESTホールディングスから系統用蓄電システムを受注、栃木県佐野市の新設...
パワーエックスは2025年3月13日、Q.ENESTホールディングスから系統用蓄電システム「Mega Power」3台を受注した。栃木県佐野市に新設される「Q.ENEST佐野高圧蓄電所」は、一般家庭約720世帯分の1日の電力使用量に相当する8,226kWhの公称容量を持ち、2025年7月末の運転開始を予定している。経済産業省の補助金事業に採択され、再生可能エネルギーの導入拡大を後押しする。
パワーエックスがQ.ENESTホールディングスから系統用蓄電システムを受注、栃木県佐野市の新設...
パワーエックスは2025年3月13日、Q.ENESTホールディングスから系統用蓄電システム「Mega Power」3台を受注した。栃木県佐野市に新設される「Q.ENEST佐野高圧蓄電所」は、一般家庭約720世帯分の1日の電力使用量に相当する8,226kWhの公称容量を持ち、2025年7月末の運転開始を予定している。経済産業省の補助金事業に採択され、再生可能エネルギーの導入拡大を後押しする。
Receptが銀行口座の個人情報をデジタル証明書として再利用可能な銀行VCサービスを発表、国内...
株式会社ReceptがデジタルIDウォレット「proovy」の新機能として「銀行VCサービス」をリリース。みずほ銀行など9行の金融機関で利用可能で、口座開設時の厳密な本人確認データをDID/VC技術を用いてデジタル証明書化し、外部事業者への安全な提示を実現。生成AIによるディープフェイク対策として期待される国内初の商用サービスだ。
Receptが銀行口座の個人情報をデジタル証明書として再利用可能な銀行VCサービスを発表、国内...
株式会社ReceptがデジタルIDウォレット「proovy」の新機能として「銀行VCサービス」をリリース。みずほ銀行など9行の金融機関で利用可能で、口座開設時の厳密な本人確認データをDID/VC技術を用いてデジタル証明書化し、外部事業者への安全な提示を実現。生成AIによるディープフェイク対策として期待される国内初の商用サービスだ。
JALが海外地区サイトでWOVN.ioを導入、11言語対応で情報アクセシビリティが向上
日本航空株式会社がWebサイト多言語化ソリューション「WOVN.io」を海外地区サイトに導入し、英語を元言語として11言語に対応。ブラウザ設定に応じた自動言語切り替えや変更箇所の自動検知・自動翻訳により、空港や乗り継ぎ情報などをタイムリーに提供可能に。すでに国内向けサイトなどで活用実績があり、さらなる多言語展開を推進。
JALが海外地区サイトでWOVN.ioを導入、11言語対応で情報アクセシビリティが向上
日本航空株式会社がWebサイト多言語化ソリューション「WOVN.io」を海外地区サイトに導入し、英語を元言語として11言語に対応。ブラウザ設定に応じた自動言語切り替えや変更箇所の自動検知・自動翻訳により、空港や乗り継ぎ情報などをタイムリーに提供可能に。すでに国内向けサイトなどで活用実績があり、さらなる多言語展開を推進。
タレントアンドアセスメントがSHaiNのアルバイト採用版を提供開始、若年層の面接体験を最適化へ
株式会社タレントアンドアセスメントは、対話型AI面接サービスSHaiNの面接カテゴリー別サービス第二弾として、2025年4月よりアルバイト採用向けバージョンの提供を開始する。若年層向けに質問内容と言葉遣いを最適化し、より高度な受検体験を実現。戦略採用メソッドに基づく評価精度を維持しながら、アルバイト応募者特有のニーズに対応した新バージョンとなっている。
タレントアンドアセスメントがSHaiNのアルバイト採用版を提供開始、若年層の面接体験を最適化へ
株式会社タレントアンドアセスメントは、対話型AI面接サービスSHaiNの面接カテゴリー別サービス第二弾として、2025年4月よりアルバイト採用向けバージョンの提供を開始する。若年層向けに質問内容と言葉遣いを最適化し、より高度な受検体験を実現。戦略採用メソッドに基づく評価精度を維持しながら、アルバイト応募者特有のニーズに対応した新バージョンとなっている。
【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...
Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。
【CVE-2025-26465】OpenSSHにVerifyHostKeyDNS有効時の脆弱性...
Red Hat社が2025年2月18日に公開したOpenSSHの脆弱性は、VerifyHostKeyDNSオプション有効時に中間者攻撃を受ける可能性がある重要な問題だ。攻撃者がクライアントのメモリリソースを枯渇させることで攻撃が成功する可能性があり、CVSSスコアは6.8(MEDIUM)となっている。Red Hat Enterprise Linux 9およびRed Hat OpenShift Container Platform 4の全バージョンが影響を受ける。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13854】Education Addon For Elementor 1...
WordPressプラグインのEducation Addon For Elementorにおいて、バージョン1.3.1以前に深刻な脆弱性が発見された。naedu_elementorテンプレートのショートコードにおけるユーザー制御キーの検証が不十分であり、Contributor以上の権限を持つユーザーが非公開コンテンツにアクセスできる可能性がある。この脆弱性はCVE-2024-13854として識別され、CVSS v3.1で4.3(MEDIUM)と評価されている。
【CVE-2024-13231】WordPress Portfolio Builder 1.1...
WordfenceはWordPress Portfolio Builder – Portfolio Galleryプラグインのバージョン1.1.7以前に認証機能の欠如による脆弱性が存在することを報告した。'add_video'関数における権限チェックの欠如により、未認証の攻撃者が任意の動画をポートフォリオギャラリーに追加できる状態となっている。この脆弱性はCVSS v3.1で深刻度が5.3(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13231】WordPress Portfolio Builder 1.1...
WordfenceはWordPress Portfolio Builder – Portfolio Galleryプラグインのバージョン1.1.7以前に認証機能の欠如による脆弱性が存在することを報告した。'add_video'関数における権限チェックの欠如により、未認証の攻撃者が任意の動画をポートフォリオギャラリーに追加できる状態となっている。この脆弱性はCVSS v3.1で深刻度が5.3(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13712】WordPressプラグインPollin 1.01.1にSQL...
WordPressプラグインPollinのバージョン1.01.1以前において、SQLインジェクションの脆弱性が発見された。CVE-2024-13712として識別されるこの脆弱性は、管理者権限を持つユーザーが利用可能なquestionパラメータに存在し、不適切なエスケープ処理とSQLクエリの準備不足により、データベースからの機密情報抽出が可能となっている。CVSSスコアは4.9(中)と評価され、早急な対応が推奨される。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13719】PeproDev Ultimate Invoice 2.0.8...
WordPressプラグインPeproDev Ultimate Invoiceにおいて、バージョン2.0.8以前に不適切な直接オブジェクト参照の脆弱性が発見された。この脆弱性により、未認証の攻撃者が完了済み注文の請求書情報にアクセス可能となり、ユーザーの個人情報が露出するリスクが存在している。CVSSスコアは5.3(MEDIUM)と評価され、早急な対応が必要とされている。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。
【CVE-2024-13336】WordPress用プラグインDisable Auto Upd...
WordPressプラグインDisable Auto Updatesにおいて、バージョン1.4以前のすべてのバージョンでCSRF脆弱性が発見された。この脆弱性により、攻撃者は管理者に細工されたリンクをクリックさせることで自動更新機能を無効化できる可能性がある。CVSSスコア4.3の中程度の深刻度と評価されており、早急な対策が求められている。
【CVE-2024-13748】Ultimate Classified Listings 1....
WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。
【CVE-2024-13748】Ultimate Classified Listings 1....
WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。
【CVE-2024-13789】WordPressプラグインravpageに深刻な脆弱性、バー...
WordPressプラグインravpageのバージョン2.31以前において、PHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCRITICALと評価されるこの脆弱性により、未認証の攻撃者が'paramsv2'パラメータを介してPHPオブジェクトを注入可能となる。POPチェーンを含む追加プラグインやテーマがインストールされている場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる深刻な脆弱性である。
【CVE-2024-13789】WordPressプラグインravpageに深刻な脆弱性、バー...
WordPressプラグインravpageのバージョン2.31以前において、PHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCRITICALと評価されるこの脆弱性により、未認証の攻撃者が'paramsv2'パラメータを介してPHPオブジェクトを注入可能となる。POPチェーンを含む追加プラグインやテーマがインストールされている場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる深刻な脆弱性である。
【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...
WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。
【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...
WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。
【CVE-2024-13846】Indeed Ultimate Learning Pro 3....
WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。
【CVE-2024-13846】Indeed Ultimate Learning Pro 3....
WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。
【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...
WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。
【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...
WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。
【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...
WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。
【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...
WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。
【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...
WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。
【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...
WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。
【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...
WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。
【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...
WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。
【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...
YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。
【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...
YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。
【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...
WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。
【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...
WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。
【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...
WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。
【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...
WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。
【CVE-2024-13716】WordPress用プラグインForex Calculator...
WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。
【CVE-2024-13716】WordPress用プラグインForex Calculator...
WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。
【CVE-2025-1757】WordPress Portfolio Builder – Po...
WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。
【CVE-2025-1757】WordPress Portfolio Builder – Po...
WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。
【CVE-2025-1662】WordPress用プラグインURL Media Uploade...
WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。
【CVE-2025-1662】WordPress用プラグインURL Media Uploade...
WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。
【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...
WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。
【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...
WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。