Tech Insights
【CVE-2025-1506】WordPressプラグインWp Social Login an...
WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。
【CVE-2025-1506】WordPressプラグインWp Social Login an...
WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。
【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...
WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。
【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...
WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。
【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...
WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。
【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...
WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。
【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...
WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。
【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...
WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。
【CVE-2024-13832】Ultra Addons Lite for Elementor...
WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。
【CVE-2024-13832】Ultra Addons Lite for Elementor...
WordPressプラグインUltra Addons Lite for Elementorにおいて、バージョン1.1.8以下の全バージョンで情報漏洩の脆弱性が発見された。ut_elementorショートコードの制限不備により、Contributor以上の権限を持つユーザーがパスワード保護記事や非公開記事、下書き記事の内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められる。
【CVE-2025-25939】Reprise License Manager 14.2でXS...
Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。
【CVE-2025-25939】Reprise License Manager 14.2でXS...
Reprise License Manager 14.2において、/goform/activate_processのakeyパラメータにリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-25939として識別されたこの脆弱性は、CVSS値6.1で「MEDIUM」の深刻度と評価されている。CISAは3月4日に情報を更新し、SSVCによる評価では攻撃の自動化は「poc」、技術的影響は「partial」と判定された。
【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...
MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。
【CVE-2025-25967】Acora CMS 10.1.1にCSRF脆弱性が発見、認証済...
MITREは2025年3月3日、Acora CMS version 10.1.1においてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVSSスコア6.8のこの脆弱性により、攻撃者は認証済みユーザーを騙して不正な操作を実行させることが可能となっている。特にアカウントの削除やユーザーの作成といった重要な操作が不正に実行される可能性が指摘されている。
【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...
GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。
【CVE-2025-27419】WeGIAにDoS脆弱性が発見、認証不要で動的URL生成による...
GitHub社がポルトガル語圏向けオープンソースWeb管理システムWeGIAに深刻なDoS脆弱性を発見したと報告。認証なしでの動的URL生成による再帰的クローリングが可能で、大量リクエストによりサーバーが応答不能となる可能性がある。CVSSスコア9.2の重大な脆弱性として評価され、バージョン3.2.16で修正パッチが提供されている。
【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...
Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。
【CVE-2025-26989】WordPressプラグインZigaformにXSS脆弱性、バ...
Patchstack OÜは2025年3月3日、WordPressプラグイン「Zigaform – Form Builder Lite」のバージョン7.4.2以前に存在するクロスサイトスクリプティング脆弱性を公表した。CVSSスコア7.1のハイリスク評価で、永続的なXSS攻撃を可能にする深刻な脆弱性。すでにバージョン7.4.3で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。
【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...
Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2025-1873】101newsにSQLインジェクション脆弱性が発見、管理画面のパ...
Spanish National Cybersecurity Instituteは101newsバージョン1.0において、管理画面のcontactus.phpファイル内のpagetitleとpagedescriptionパラメータにSQLインジェクション脆弱性が存在することを発表した。CVSSスコア9.3のクリティカルな脆弱性として評価されており、システムのセキュリティに重大な影響を及ぼす可能性がある。
【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。
【CVE-2025-1869】101newsにSQLインジェクションの脆弱性、管理画面での特権...
Spanish National Cybersecurity Instituteは2025年3月3日、101newsのバージョン1.0にSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2025-1869として識別され、CVSSスコア9.3のクリティカルと評価されている。admin/check_avalability.phpのusernameパラメータに影響し、攻撃者による不正アクセスや情報漏洩のリスクがある。
【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...
Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。
【CVE-2025-0678】grub2のsquash4モジュールに整数オーバーフロー脆弱性、...
Red Hat社が2025年3月3日、grub2のsquash4ファイルシステムモジュールに整数オーバーフローの脆弱性(CVE-2025-0678)を発見したことを公開した。バージョン0から2.12までが影響を受け、悪意のあるファイルシステムによってヒープベースのバッファオーバーフローが発生する可能性がある。この問題はgrubの重要な内部データの破壊やセキュアブート保護のバイパスにつながる危険性がある。
【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...
GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。
【CVE-2025-27499】WeGIAにXSS脆弱性が発見、バージョン3.2.10で修正完...
GitHubが2025年3月3日、ポルトガル語圏向けWeb管理システムWeGIAにおいて格納型XSS脆弱性(CVE-2025-27499)を公開した。processa_edicao_socio.phpのsocio_nomeパラメータに存在する本脆弱性は、悪意のあるスクリプトを格納・実行可能であり、CVSSスコア6.4の中程度の深刻度と評価。バージョン3.2.10未満が影響を受け、早急なアップデートが推奨される。
【CVE-2025-1878】i-Drive i11/i12ダッシュカムのWiFiセキュリティ...
i-Drive社のダッシュカメラi11およびi12において、2025年2月27日までのバージョンでWiFiコンポーネントのデフォルトパスワードに関する脆弱性が発見された。CVE-2025-1878として識別されたこの問題は、CVSS 4.0で2.3(低)と評価されているものの、ローカルネットワークでの攻撃リスクが存在する。製品のライフサイクル終了の可能性も指摘されており、早急な対策が求められている。
【CVE-2025-1878】i-Drive i11/i12ダッシュカムのWiFiセキュリティ...
i-Drive社のダッシュカメラi11およびi12において、2025年2月27日までのバージョンでWiFiコンポーネントのデフォルトパスワードに関する脆弱性が発見された。CVE-2025-1878として識別されたこの問題は、CVSS 4.0で2.3(低)と評価されているものの、ローカルネットワークでの攻撃リスクが存在する。製品のライフサイクル終了の可能性も指摘されており、早急な対策が求められている。
【CVE-2024-58045】HarmonyOS 5.0.0にマルチコンカレンシーの脆弱性、...
Huawei TechnologiesはHarmonyOS 5.0.0のメディアデジタル著作権保護モジュールにおいて、マルチコンカレンシーに関する重大な脆弱性を発見した。CVE-2024-58045として識別されたこの脆弱性は、CVSSスコア8.6の高リスクと評価され、システムの可用性に影響を与える可能性がある。共有リソースの同期処理が不適切なレースコンディションとして分類されており、早急な対応が求められている。
【CVE-2024-58045】HarmonyOS 5.0.0にマルチコンカレンシーの脆弱性、...
Huawei TechnologiesはHarmonyOS 5.0.0のメディアデジタル著作権保護モジュールにおいて、マルチコンカレンシーに関する重大な脆弱性を発見した。CVE-2024-58045として識別されたこの脆弱性は、CVSSスコア8.6の高リスクと評価され、システムの可用性に影響を与える可能性がある。共有リソースの同期処理が不適切なレースコンディションとして分類されており、早急な対応が求められている。
【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...
OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。
【CVE-2025-21097】OpenHarmony v5.0.2以前のバージョンでNULL...
OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeに関する重要な脆弱性情報を公開した。この脆弱性はCVE-2025-21097として識別され、v4.1.0からv5.0.2までのバージョンに影響を与えるNULLポインタ参照の問題として報告されている。CVSSスコアは3.3(低)と評価されており、ローカル攻撃者によるサービス拒否攻撃の可能性が指摘されている。
【CVE-2025-1900】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。
【CVE-2025-1900】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadd-table.phpファイルにSQL injection脆弱性が発見された。tableno引数の操作により遠隔からの攻撃が可能で、すでにエクスプロイトが公開されている。CVSS 4.0では6.9(MEDIUM)、CVSS 3.1および3.0では7.3(HIGH)と評価されており、早急な対応が必要とされている。影響を受けるバージョンは1.0で、VulDBユーザーのchenziによって報告されている。
【CVE-2024-58047】HarmonyOS 5.0.0のメディアライブラリに権限検証の...
Huawei TechnologiesはHarmonyOS 5.0.0のメディアライブラリモジュールに権限検証の脆弱性が存在することを公表した。CVE-2024-58047として識別されるこの脆弱性は、CVSSスコア5.0のミディアムレベルと評価され、不正なアクターへの機密情報の露出につながる可能性がある。攻撃にはローカルアクセスと低い特権レベルが必要とされ、ユーザーの関与が求められる。
【CVE-2024-58047】HarmonyOS 5.0.0のメディアライブラリに権限検証の...
Huawei TechnologiesはHarmonyOS 5.0.0のメディアライブラリモジュールに権限検証の脆弱性が存在することを公表した。CVE-2024-58047として識別されるこの脆弱性は、CVSSスコア5.0のミディアムレベルと評価され、不正なアクターへの機密情報の露出につながる可能性がある。攻撃にはローカルアクセスと低い特権レベルが必要とされ、ユーザーの関与が求められる。
【CVE-2025-1898】Tenda TX3に重大な脆弱性、バッファオーバーフローによる遠...
Tenda TX3 16.03.13.11_multiにおいて、/goform/openSchedWifiファイルに関連する重大な脆弱性が発見された。schedStartTimeおよびschedEndTimeパラメータの操作によってバッファオーバーフローが発生する可能性があり、CVSS 4.0で7.1のハイリスクと評価されている。リモートからの攻撃が可能で、既に詳細が公開されているため、早急な対応が求められている。
【CVE-2025-1898】Tenda TX3に重大な脆弱性、バッファオーバーフローによる遠...
Tenda TX3 16.03.13.11_multiにおいて、/goform/openSchedWifiファイルに関連する重大な脆弱性が発見された。schedStartTimeおよびschedEndTimeパラメータの操作によってバッファオーバーフローが発生する可能性があり、CVSS 4.0で7.1のハイリスクと評価されている。リモートからの攻撃が可能で、既に詳細が公開されているため、早急な対応が求められている。
【CVE-2025-1894】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。
【CVE-2025-1894】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のsearch-result.phpファイルにSQLインジェクションの脆弱性が発見された。searchdataパラメータの不適切な処理により、リモートからの攻撃が可能な状態となっている。CVSS 3.1で7.3(High)と評価されており、既に攻撃コードが公開されている可能性があるため、システム管理者による早急な対応が必要だ。
【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...
WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。
【CVE-2025-1307】Newscrunch 1.8.4に認証バイパスの脆弱性、任意のフ...
WordPressテーマNewscrunchのバージョン1.8.4以前に、認証済みユーザーによる任意のファイルアップロードを可能にする重大な脆弱性が発見された。CVSSスコア9.8のクリティカルな脆弱性として報告され、Subscriberレベルの権限でもサーバー上にファイルをアップロードできる問題が確認されている。早急なアップデートが推奨される。
【CVE-2025-22224】VMwareの主要製品にTOCTOU脆弱性、仮想マシン環境での...
VMwareはESXiやWorkstationなどの主要製品において、深刻なTOCTOU脆弱性を2025年3月4日に公開した。CVSSスコア9.3のこの脆弱性により、仮想マシン上で管理者権限を持つ攻撃者がホスト上のVMXプロセスとしてコードを実行可能となる。影響を受ける製品には、ESXi 8.0/7.0の特定バージョン、Workstation 17.x、Cloud Foundation、Telco Cloud Platformなどが含まれており、早急な対応が必要とされている。
【CVE-2025-22224】VMwareの主要製品にTOCTOU脆弱性、仮想マシン環境での...
VMwareはESXiやWorkstationなどの主要製品において、深刻なTOCTOU脆弱性を2025年3月4日に公開した。CVSSスコア9.3のこの脆弱性により、仮想マシン上で管理者権限を持つ攻撃者がホスト上のVMXプロセスとしてコードを実行可能となる。影響を受ける製品には、ESXi 8.0/7.0の特定バージョン、Workstation 17.x、Cloud Foundation、Telco Cloud Platformなどが含まれており、早急な対応が必要とされている。
【CVE-2025-1906】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadmin/profile.phpにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータを介した攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。管理者権限が必要だが攻撃の複雑さは低く、データベースの整合性や機密情報に影響を及ぼす可能性があり、早急な対応が求められる状況となっている。
【CVE-2025-1906】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadmin/profile.phpにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータを介した攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。管理者権限が必要だが攻撃の複雑さは低く、データベースの整合性や機密情報に影響を及ぼす可能性があり、早急な対応が求められる状況となっている。
【CVE-2025-1901】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadmin/check_availability.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2025-1901】として識別され、リモートからの攻撃が可能で特別な認証は不要。CVSSスコアは最大7.3(HIGH)と評価されており、既に攻撃コードも公開されているため、早急な対応が必要とされている。
【CVE-2025-1901】PHPGurukul Restaurant Table Book...
PHPGurukul Restaurant Table Booking System 1.0のadmin/check_availability.phpファイルにSQLインジェクションの脆弱性が発見された。この脆弱性は【CVE-2025-1901】として識別され、リモートからの攻撃が可能で特別な認証は不要。CVSSスコアは最大7.3(HIGH)と評価されており、既に攻撃コードも公開されているため、早急な対応が必要とされている。
【CVE-2025-1893】Open5GS AMFにDoS脆弱性が発見、ネットワーク全体のサ...
Open5GSのバージョン2.7.2以前のAMFコンポーネントに重大な脆弱性が発見された。単一のUEからの攻撃でAMFがクラッシュし、モビリティ管理やセッション管理サービスが完全に停止する可能性がある。この脆弱性により、登録済みの全UEが接続を失い、新規登録もブロックされる。対策としてパッチが提供されており、早急な適用が推奨されている。
【CVE-2025-1893】Open5GS AMFにDoS脆弱性が発見、ネットワーク全体のサ...
Open5GSのバージョン2.7.2以前のAMFコンポーネントに重大な脆弱性が発見された。単一のUEからの攻撃でAMFがクラッシュし、モビリティ管理やセッション管理サービスが完全に停止する可能性がある。この脆弱性により、登録済みの全UEが接続を失い、新規登録もブロックされる。対策としてパッチが提供されており、早急な適用が推奨されている。
【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...
WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。
【CVE-2025-1664】Essential Blocks 5.3.1にXSS脆弱性、認証...
WordPressプラグイン「Essential Blocks」のバージョン5.3.1以前に、Parallaxスライダー機能における格納型XSS脆弱性が発見された。CVSSスコア6.4の中程度の深刻度で、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入し、他のユーザーの環境で実行される可能性がある。CWE-79に分類されるこの脆弱性は、入力サニタイズと出力エスケープの不備に起因している。
【CVE-2024-13835】WordPress用プラグインPost Meta Data M...
WordPressのPost Meta Data Managerプラグインにおいて、バージョン1.4.3以前に特権昇格の脆弱性が発見された。CVE-2024-13835として識別されるこの脆弱性は、マルチサイト環境での権限検証が不適切なため、管理者権限を持つ攻撃者が本来アクセスできないサブサイトでの特権を取得できる問題を引き起こす。CVSSスコアは7.2でHighと評価されており、早急な対応が必要とされている。
【CVE-2024-13835】WordPress用プラグインPost Meta Data M...
WordPressのPost Meta Data Managerプラグインにおいて、バージョン1.4.3以前に特権昇格の脆弱性が発見された。CVE-2024-13835として識別されるこの脆弱性は、マルチサイト環境での権限検証が不適切なため、管理者権限を持つ攻撃者が本来アクセスできないサブサイトでの特権を取得できる問題を引き起こす。CVSSスコアは7.2でHighと評価されており、早急な対応が必要とされている。
【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...
dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。
【CVE-2025-2131】XunRuiCMS 4.6.3にクロスサイトスクリプティングの脆...
dayrui社のXunRuiCMSバージョン4.6.3までにおいて、Friendly Links機能にクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はWebサイトアドレスの引数操作により発生し、リモートからの攻撃が可能。CVSSスコア4.8でMEDIUMと評価され、すでにエクスプロイトが公開されている。影響を受けるバージョンは4.6.0から4.6.3まで。
【CVE-2024-10083】Schneider Electric社のUni-Telwayド...
Schneider Electric社は2025年2月13日、Uni-Telwayドライバに不適切な入力検証の脆弱性(CVE-2024-10083)を公表した。この脆弱性は認証済みユーザーによる細工された入力により、エンジニアリングワークステーションのサービス拒否攻撃を引き起こす可能性がある。EcoStruxure Control ExpertやProcess Expertなど、複数の制御システム製品のすべてのバージョンが影響を受ける。
【CVE-2024-10083】Schneider Electric社のUni-Telwayド...
Schneider Electric社は2025年2月13日、Uni-Telwayドライバに不適切な入力検証の脆弱性(CVE-2024-10083)を公表した。この脆弱性は認証済みユーザーによる細工された入力により、エンジニアリングワークステーションのサービス拒否攻撃を引き起こす可能性がある。EcoStruxure Control ExpertやProcess Expertなど、複数の制御システム製品のすべてのバージョンが影響を受ける。
JR東日本が駅活用型レンタルサービス「プレンタ」を東京駅で開始、ARグラスなど最新デバイスの貸...
JR東日本グループは2025年3月13日より、東京駅で駅活用型レンタルサービス「プレンタ」を開始する。ARグラス、防振双眼鏡、小型ジンバルカメラなどを取り扱い、BAGGAGE STORAGE+有人カウンターとマルチエキューブロッカーで最大72時間のレンタルが可能。料金は12時間利用で980円から1,980円で、観光やビジネスでの利用を想定している。
JR東日本が駅活用型レンタルサービス「プレンタ」を東京駅で開始、ARグラスなど最新デバイスの貸...
JR東日本グループは2025年3月13日より、東京駅で駅活用型レンタルサービス「プレンタ」を開始する。ARグラス、防振双眼鏡、小型ジンバルカメラなどを取り扱い、BAGGAGE STORAGE+有人カウンターとマルチエキューブロッカーで最大72時間のレンタルが可能。料金は12時間利用で980円から1,980円で、観光やビジネスでの利用を想定している。