Tech Insights
メルカリが香港で越境取引サービスを開始、台湾に続く2カ所目の展開でアジア市場への本格進出を加速
メルカリが2025年5月7日より香港での越境取引サービスを開始。香港在住者はWeb版メルカリで日本の商品を購入可能になり、言語は繁体字・英語、価格は日本円・香港ドルから選択できる。初回購入者向けに30%オフクーポンを提供し、台湾に続く2カ所目の展開でアジア市場でのプレゼンス拡大を目指す。
メルカリが香港で越境取引サービスを開始、台湾に続く2カ所目の展開でアジア市場への本格進出を加速
メルカリが2025年5月7日より香港での越境取引サービスを開始。香港在住者はWeb版メルカリで日本の商品を購入可能になり、言語は繁体字・英語、価格は日本円・香港ドルから選択できる。初回購入者向けに30%オフクーポンを提供し、台湾に続く2カ所目の展開でアジア市場でのプレゼンス拡大を目指す。
メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ
メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。
メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ
メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。
KDDIがStarlink Directを他社回線ユーザーに開放、圏外エリアでもテキスト通信が可能に
KDDIは2025年5月7日、衛星とスマートフォンの直接通信サービス「au Starlink Direct」をUQ mobileやpovo、他社回線ユーザーにも提供開始した。空が見える環境下であれば圏外エリアでもテキストメッセージの送受信や位置情報の共有が可能となり、山間部や島しょ部などでの通信手段として期待される。6月末までの加入で6カ月間無料キャンペーンも実施している。
KDDIがStarlink Directを他社回線ユーザーに開放、圏外エリアでもテキスト通信が可能に
KDDIは2025年5月7日、衛星とスマートフォンの直接通信サービス「au Starlink Direct」をUQ mobileやpovo、他社回線ユーザーにも提供開始した。空が見える環境下であれば圏外エリアでもテキストメッセージの送受信や位置情報の共有が可能となり、山間部や島しょ部などでの通信手段として期待される。6月末までの加入で6カ月間無料キャンペーンも実施している。
楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化
楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。
楽天証券が全チャネルでログイン追加認証を必須化、6月からフィッシング詐欺対策を本格強化
楽天証券は2025年6月1日より、マーケットスピードやiSPEEDなど全チャネルで画像選択方式のログイン追加認証を必須化する。フィッシング詐欺による不正アクセス対策として、電話による本人確認と絵文字認証の2段階認証を導入。約款改定も実施し、新たな認証システムと免責事項を明確化する。
PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に
PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。
PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に
PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。
米OpenAIが各国向けAIインフラ支援プログラムを発表、民主的なAI開発の推進へ
米OpenAIは5月7日、Stargateプロジェクトの新施策として各国のAIインフラ整備を支援する「OpenAI for Countries」を発表した。現地データセンターの構築支援やカスタマイズされたChatGPTの提供、AIモデルのセキュリティ管理強化などを通じて、民主的なAI開発の推進を目指す。第一段階として10か国・地域とのプロジェクト実施を予定している。
米OpenAIが各国向けAIインフラ支援プログラムを発表、民主的なAI開発の推進へ
米OpenAIは5月7日、Stargateプロジェクトの新施策として各国のAIインフラ整備を支援する「OpenAI for Countries」を発表した。現地データセンターの構築支援やカスタマイズされたChatGPTの提供、AIモデルのセキュリティ管理強化などを通じて、民主的なAI開発の推進を目指す。第一段階として10か国・地域とのプロジェクト実施を予定している。
Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化
インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。
Redis 8.0が正式リリース、性能改善と新データ構造の追加でAIワークロード処理を強化
インメモリデータベースのRedisが最新版8.0を正式リリースした。30以上の性能改善により、コマンド実行の87%高速化やスループットの2倍向上を実現。ベクターセット、JSON、時系列など8つの新データ構造を追加し、AIユースケースやリアルタイムアプリケーション開発への対応を強化。また、AGPLv3ライセンスでのオープンソース提供を開始し、Redis StackとCommunity Editionを統合。
MicrosoftがAzure Cosmos DB for MongoDBにData APIを...
MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。
MicrosoftがAzure Cosmos DB for MongoDBにData APIを...
MicrosoftはvCore-based Azure Cosmos DB for MongoDBにおいて、RESTful HTTPSインターフェースを採用したData APIの一般提供を開始した。ドライバーやクエリロジックを必要とせずにMongoDBデータへの直接アクセスが可能となり、aggregate、listDatabases、listCollections、getSchemaといった読み取り操作機能を実装。Power BIとの直接連携機能も搭載され、ETL処理不要のリアルタイムデータ分析を実現している。
CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...
AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。
CursorがAI搭載IDE「Cursor Pro」を学生向けに1年間無料提供、開発効率向上と...
AIを活用した統合開発環境(IDE)を提供するCursorが、学生向けに有料プラン「Cursor Pro」の1年間無料提供を開始した。対象となる認証済み大学生ユーザーは、月間500回までの高速AIリクエストと無制限の通常リクエストを利用可能で、コード生成やデバッグ支援などの機能を活用して開発効率を向上させることができる。世界トップクラスの大学でも活用が進んでおり、次世代の開発者育成に貢献することが期待される。
【CVE-2025-3874】WordPress Simple PayPal Shopping...
WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。
【CVE-2025-3874】WordPress Simple PayPal Shopping...
WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。
【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...
WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。
【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...
WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。
【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...
WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。
【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...
WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。
【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...
WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。
【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...
WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。
【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...
WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。
【CVE-2024-13419】Smart Framework搭載WordPressプラグイン...
WordFenceが2025年5月2日、Smart Frameworkを使用する複数のWordPressプラグインに認証後のクロスサイトスクリプティング脆弱性を発見したことを公開した。G5Theme製の4つのフレームワークが影響を受け、Subscriber以上の権限を持つユーザーがサイト全体で有効なJavaScriptを実行可能な状態となっている。
【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...
WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。
【CVE-2025-1458】Element Pack Addons 5.10.29でXSS脆...
WordPressプラグイン「Element Pack Addons for Elementor」のバージョン5.10.29以前に、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを実行可能で、CVSSスコア6.4のミディアムレベルと評価。複数のウィジェットで入力検証と出力エスケープが不十分なため、早急な対応が推奨される。
【CVE-2025-3890】WordPress Simple Shopping Cart 5...
Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。
【CVE-2025-3890】WordPress Simple Shopping Cart 5...
Wordfenceは2025年5月1日、WordPress Simple Shopping Cartのバージョン5.1.3以前に格納型クロスサイトスクリプティング脆弱性が存在することを公開した。wp_cart_buttonショートコードにおける入力値の検証と出力のエスケープが不十分であり、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4(Medium)と評価されている。
【CVE-2025-31324】SAP NetWeaver Visual Composerに重...
SAP SEはSAP NetWeaver Visual Composer開発サーバーに重大な認証バイパスの脆弱性が発見されたことを公表した。この脆弱性により、未認証の攻撃者が悪意のある実行ファイルをアップロード可能となり、システムの機密性や整合性に深刻な影響を及ぼす可能性がある。CVSSスコア10.0の最高危険度で、既に実際の攻撃での悪用が確認されている。
【CVE-2025-31324】SAP NetWeaver Visual Composerに重...
SAP SEはSAP NetWeaver Visual Composer開発サーバーに重大な認証バイパスの脆弱性が発見されたことを公表した。この脆弱性により、未認証の攻撃者が悪意のある実行ファイルをアップロード可能となり、システムの機密性や整合性に深刻な影響を及ぼす可能性がある。CVSSスコア10.0の最高危険度で、既に実際の攻撃での悪用が確認されている。
【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...
WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。
【CVE-2025-2893】Gutenverse 2.2.1以前のバージョンでXSS脆弱性が...
WordPressプラグイン「Gutenverse」のバージョン2.2.1以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、カウントダウンブロック機能を悪用して悪意のあるスクリプトを注入できる可能性がある。CVSSスコア6.4で中程度の深刻度と評価され、ページアクセス時にスクリプトが実行される仕組みとなっている。この脆弱性は【CVE-2025-2893】として識別されている。
【CVE-2025-34028】Commvault Command Center Innova...
Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。
【CVE-2025-34028】Commvault Command Center Innova...
Commvault Command Center Innovation Release 11.38において、認証機能をバイパスしてZIPファイルをアップロードし、パストラバーサル攻撃を介してリモートコード実行が可能になる深刻な脆弱性が発見された。CVSS v3.1で最高レベルの「CRITICAL」評価を受け、CISAもKEVに追加。早急な対策が必要とされている。
【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...
WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。
【CVE-2025-2541】WP Project Manager 2.6.22以前にXSS脆...
WordfenceはWP Project Manager 2.6.22以前のバージョンにストアドクロスサイトスクリプティング脆弱性を発見し、2025年4月11日に公開した。CVE-2025-2541として識別されるこの脆弱性は、SVGファイルアップロードを介して任意のスクリプトが実行可能となり、CVSS評価で6.4のミディアムと評価されている。Author以上の権限を持つユーザーによる攻撃が可能であり、早急な対応が推奨される。
【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...
WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2025-3510】WordPressプラグインtagDiv Composerに深刻...
WordPressプラグインのtagDiv Composerにおいて、バージョン5.4以前に深刻なXSS脆弱性が発見された。この脆弱性は複数のショートコードにおける入力値の検証と出力エスケープが不十分であることに起因しており、認証済みユーザーによる任意のスクリプト実行が可能な状態となっている。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対応が求められる。
【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...
WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。
【CVE-2024-13860】BuddyBoss Platform 2.8.50以前にXSS...
WordPressプラグインBuddyBoss Platformのバージョン2.8.50以前に深刻度中のクロスサイトスクリプティング脆弱性が発見された。Subscriber以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、影響を受けたページにアクセスした他のユーザーの環境で実行される可能性がある。バージョン2.8.41で一部修正されたが完全な対応には至っておらず、早急な対策が必要とされている。
【CVE-2025-3915】Aeropage Sync for Airtableに認証バイパ...
WordPressプラグインAeropage Sync for Airtableにおいて、認証に関する重大な脆弱性が発見された。バージョン3.2.0以前が影響を受け、Subscriber以上の権限を持つユーザーが任意の投稿を削除可能になる。CVSSスコアは4.3でMEDIUMと評価され、早急な対応が必要とされている。Wordfenceが2025年4月26日に公開したこの脆弱性は、プラグインの認証機能における深刻な問題を示している。
【CVE-2025-3915】Aeropage Sync for Airtableに認証バイパ...
WordPressプラグインAeropage Sync for Airtableにおいて、認証に関する重大な脆弱性が発見された。バージョン3.2.0以前が影響を受け、Subscriber以上の権限を持つユーザーが任意の投稿を削除可能になる。CVSSスコアは4.3でMEDIUMと評価され、早急な対応が必要とされている。Wordfenceが2025年4月26日に公開したこの脆弱性は、プラグインの認証機能における深刻な問題を示している。
【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...
WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。
【CVE-2025-3452】SecuPress Free 2.3.9に認証回避の脆弱性、任意...
WordfenceがWordPress用セキュリティプラグイン「SecuPress Free 2.3.9」以前のバージョンに認証回避の脆弱性を発見した。'secupress_reinstall_plugins_admin_ajax_cb'関数での権限チェックの欠落により、認証済みユーザー(Subscriber以上)が任意のプラグインをインストール可能となる。CVSSスコア4.3(MEDIUM)と評価され、CWE-862として分類されている。
【CVE-2025-1327】WordPressテーマHomey 2.4.4に認証済みユーザー...
WordPressテーマHomeyのバージョン2.4.4以前に重大な脆弱性が発見された。この脆弱性はInsecure Direct Object Reference(IDOR)に分類され、認証済みユーザー(Subscriber以上)が他のユーザーアカウントを任意に削除できてしまう問題である。CVSSスコアは4.3(Medium)と評価され、'homey_delete_user_account'アクションを通じて攻撃が可能となる。
【CVE-2025-1327】WordPressテーマHomey 2.4.4に認証済みユーザー...
WordPressテーマHomeyのバージョン2.4.4以前に重大な脆弱性が発見された。この脆弱性はInsecure Direct Object Reference(IDOR)に分類され、認証済みユーザー(Subscriber以上)が他のユーザーアカウントを任意に削除できてしまう問題である。CVSSスコアは4.3(Medium)と評価され、'homey_delete_user_account'アクションを通じて攻撃が可能となる。
【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...
WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。
【CVE-2024-13808】Xpro Elementor Addons - Proに深刻な...
WordPressプラグインのXpro Elementor Addons - Proにおいて、バージョン1.4.9以前の全バージョンでリモートコード実行の脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性で、Contributor以上の権限を持つユーザーがサーバー上で任意のコードを実行可能。クライアントサイドのみの制御が原因で、機密性・完全性・可用性すべてに高レベルの影響を及ぼす可能性がある。
【CVE-2025-3925】BrightSign OSに特権昇格の脆弱性、series 4と...
BrightSignのデジタルサイネージプレーヤー向けOS、BrightSign OSのseries 4およびseries 5に特権昇格の脆弱性が発見された。CVSSスコアは最大8.5のHigh評価で、影響を受けるバージョンはseries 4のv8.5.53.1未満とseries 5のv9.0.166未満。Sandia National LaboratoriesのAdam Merrillによって発見され、CISAに報告された。早急なアップデートが推奨される。
【CVE-2025-3925】BrightSign OSに特権昇格の脆弱性、series 4と...
BrightSignのデジタルサイネージプレーヤー向けOS、BrightSign OSのseries 4およびseries 5に特権昇格の脆弱性が発見された。CVSSスコアは最大8.5のHigh評価で、影響を受けるバージョンはseries 4のv8.5.53.1未満とseries 5のv9.0.166未満。Sandia National LaboratoriesのAdam Merrillによって発見され、CISAに報告された。早急なアップデートが推奨される。
【CVE-2024-13381】Calculated Fields Form 5.2.62未満...
WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。
【CVE-2024-13381】Calculated Fields Form 5.2.62未満...
WordPressプラグインのCalculated Fields Formにおいて、バージョン5.2.62未満に影響を及ぼすXSS脆弱性が発見された。この脆弱性は設定項目の一部が適切にサニタイズおよびエスケープされていないことに起因しており、特にマルチサイト環境下でunfiltered_html機能が無効化されている状況でも管理者権限での攻撃が可能となる。CVSSスコアは3.5(Low)と評価されている。
【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 1...
MediaTekは2025年5月5日、同社のSoC製品群にデバイス識別子の情報漏洩につながる脆弱性が存在することを公開した。SELinuxポリシーの不備に起因するこの問題は、特別な実行権限やユーザーの操作なしで攻撃が可能となる深刻な脆弱性である。MT6580からMT8893までの広範なSoCシリーズが影響を受け、Android 13.0から15.0を搭載した端末が対象となっている。
【CVE-2025-20665】MediaTek SoCに情報漏洩の脆弱性、Android 1...
MediaTekは2025年5月5日、同社のSoC製品群にデバイス識別子の情報漏洩につながる脆弱性が存在することを公開した。SELinuxポリシーの不備に起因するこの問題は、特別な実行権限やユーザーの操作なしで攻撃が可能となる深刻な脆弱性である。MT6580からMT8893までの広範なSoCシリーズが影響を受け、Android 13.0から15.0を搭載した端末が対象となっている。
【CVE-2025-20671】MediaTekのサーマルシステムに脆弱性、Android 1...
MediaTek社がMT系列製品のサーマルシステムにおける重大な脆弱性を公開。CVE-2025-20671として識別されたこの脆弱性は、競合状態による範囲外書き込みの問題を含み、システム権限を持つ攻撃者による権限昇格の可能性がある。Android 14.0および15.0に影響し、CVSSスコア6.4のMEDIUMレベルと評価。早急なパッチ適用が推奨される。
【CVE-2025-20671】MediaTekのサーマルシステムに脆弱性、Android 1...
MediaTek社がMT系列製品のサーマルシステムにおける重大な脆弱性を公開。CVE-2025-20671として識別されたこの脆弱性は、競合状態による範囲外書き込みの問題を含み、システム権限を持つ攻撃者による権限昇格の可能性がある。Android 14.0および15.0に影響し、CVSSスコア6.4のMEDIUMレベルと評価。早急なパッチ適用が推奨される。