Tech Insights

Sky社がSKYSEA Client Viewのオンラインセミナーを開催、サイバー攻撃対策とIT資産管理の実践的活用法を解説

Sky社がSKYSEA Client Viewのオンラインセミナーを開催、サイバー攻撃対策とI...

Sky株式会社は2025年3月にSKYSEA Client Viewのオンラインセミナーを開催する。WSUSの廃止や巧妙化するサイバー攻撃への対策、Windows 11のアップデート管理など、情報システム担当者向けの実践的な内容を提供。特にサプライチェーンセキュリティの強化や情報漏洩対策について、具体的な活用事例を交えながら解説する予定だ。

Sky社がSKYSEA Client Viewのオンラインセミナーを開催、サイバー攻撃対策とI...

Sky株式会社は2025年3月にSKYSEA Client Viewのオンラインセミナーを開催する。WSUSの廃止や巧妙化するサイバー攻撃への対策、Windows 11のアップデート管理など、情報システム担当者向けの実践的な内容を提供。特にサプライチェーンセキュリティの強化や情報漏洩対策について、具体的な活用事例を交えながら解説する予定だ。

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱性が発見、製品のセキュリティに重大な影響

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱...

D-Link DIR-853 A1 FW1.20B07のSetWanSettingsモジュールにおいて、Passwordパラメータに関連するスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性は【CVE-2025-25746】として識別され、攻撃者によるシステム制御の奪取やユーザーデータの漏洩などの深刻な被害をもたらす可能性がある。現在、製造元からの公式な対応策は発表されていない。

【CVE-2025-25746】D-Link DIR-853 A1でバッファオーバーフロー脆弱...

D-Link DIR-853 A1 FW1.20B07のSetWanSettingsモジュールにおいて、Passwordパラメータに関連するスタックベースのバッファオーバーフロー脆弱性が発見された。この脆弱性は【CVE-2025-25746】として識別され、攻撃者によるシステム制御の奪取やユーザーデータの漏洩などの深刻な被害をもたらす可能性がある。現在、製造元からの公式な対応策は発表されていない。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1489】WP-Appbox 4.5.4にXSS脆弱性、Contribut...

WordPressプラグインWP-Appboxのバージョン4.5.4以前に格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーがappboxショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価。影響を受けるページにアクセスした全てのユーザーに対してスクリプトが実行される可能性があり、早急な対応が必要な状況だ。

【CVE-2025-1208】code-projects Wazifa System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-1208】code-projects Wazifa System 1.0に...

code-projects Wazifa System 1.0のProfile.phpファイルにおいて、postcontent引数を介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1のMEDIUM評価で、リモートからの攻撃が可能であり、既に公開されているため早急な対応が必要とされている。CWE-79とCWE-94に分類されるこの脆弱性は、情報の整合性に影響を与える可能性がある。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証の脆弱性、プラグイン設定の不正変更のリスクが発生

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0935】Media Library Folders 8.3.0以前に認証...

WordPressプラグインのMedia Library Foldersにおいて、バージョン8.3.0以前に認証に関する脆弱性が発見された。Author権限以上を持つ攻撃者がプラグインの設定を不正に変更できる問題が確認されており、CVSSスコアは4.3でMedium評価となっている。影響範囲はIP-blockingなどのプラグイン設定に及び、CWE-862(Missing Authorization)に分類される深刻な問題だ。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXSS脆弱性、貢献者権限で任意のスクリプト実行が可能に

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0897】WordPressプラグインModal Windowに深刻なXS...

WordPressプラグイン「Modal Window」のバージョン6.1.5以前に格納型クロスサイトスクリプティング脆弱性が発見された。iframeBoxショートコードの入力検証と出力エスケープの不備により、貢献者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコア6.4で評価され、影響を受けるページにアクセスした全てのユーザーが攻撃の対象となる可能性がある。

【CVE-2025-0874】Simple Plugins Car Rental Management 1.0にSQLインジェクションの脆弱性、遠隔攻撃のリスクで早急な対応が必要に

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0874】Simple Plugins Car Rental Manage...

code-projects社のSimple Plugins Car Rental Management 1.0において、approve.phpファイルのid引数処理に関するSQLインジェクションの脆弱性が発見された。CVSSスコアは中程度だが遠隔からの攻撃が可能で、既に公開されている状態のため早急な対応が必要。CWE-89およびCWE-74に分類されるこの脆弱性は、データベースの不正操作や情報漏洩のリスクを引き起こす可能性がある。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済みユーザーによる任意のファイル読み取りが可能に

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0822】Bit Assistプラグインにパストラバーサルの脆弱性、認証済...

WordPressのチャットウィジェットプラグイン「Bit Assist」にパストラバーサル脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、認証済みのSubscriber以上の権限を持つユーザーがサーバー上の任意のファイルを読み取ることが可能となっている。CVSSスコアは6.5(MEDIUM)で、機密情報漏洩のリスクが指摘されている。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性、認証不要で攻撃可能な重大な問題が発覚

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0817】FormCraft WordPress用プラグインにXSS脆弱性...

WordPressのフォームビルダープラグインFormCraftのバージョン3.9.11以前に、認証不要のストアドXSS脆弱性が発見された。SVGファイルアップロードを介して攻撃が可能で、CVSSスコア7.2のHigh評価とされている。脆弱性はCVE-2025-0817として登録され、早急なアップデートが推奨される。影響範囲が広く、技術的難易度も低いため、使用している組織は直ちに対応が必要だ。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前に認証バイパスの脆弱性、パスワード保護記事の情報漏洩のリスク

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0661】DethemeKit For Elementor 2.1.8以前...

WordPressプラグインDethemeKit For Elementorにおいて、バージョン2.1.8以前のすべてのバージョンで情報漏洩の脆弱性が発見された。Contributor以上の権限を持つユーザーが投稿複製機能を悪用することで、パスワード保護記事や非公開記事、下書き、予約投稿などの本来アクセスできない記事内容を取得可能となっている。CVSSスコア4.3の中程度の深刻度と評価されている。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティング脆弱性、早急な対応が必要に

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサルの脆弱性、WordPressサイトのセキュリティリスクが深刻化

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサルの脆弱性、制限ディレクトリへの不正アクセスのリスクに対処

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の脆弱性、サービス拒否攻撃のリスクで早急な対応が必要

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパスの脆弱性、DoS攻撃のリスクで早急な対応が必要

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパ...

WordPressプラグイン「WP Project Manager」のバージョン2.6.17以前に、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが設定を不正に変更可能となり、永続的なDoS状態を引き起こす可能性がある。CVSSスコア6.5で深刻度「MEDIUM」と評価され、既に修正版となるバージョン2.6.18がリリースされている。

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパ...

WordPressプラグイン「WP Project Manager」のバージョン2.6.17以前に、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが設定を不正に変更可能となり、永続的なDoS状態を引き起こす可能性がある。CVSSスコア6.5で深刻度「MEDIUM」と評価され、既に修正版となるバージョン2.6.18がリリースされている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishlistに深刻なCSRF脆弱性が発見、ウィッシュリストの不正操作が可能に

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13718】WooCommerceプラグインFlexible Wishli...

WordPressのeコマースプラグイン「Flexible Wishlist for WooCommerce」のバージョン1.2.26以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、他のユーザーのウィッシュリストを不正に操作することが可能となる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な脆弱性、任意のファイル読み取りが可能に

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認証済みユーザーによる攻撃のリスクが浮上

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13587】WordPressプラグインZigaformに深刻な脆弱性、認...

WordPressプラグイン「Zigaform」のバージョン7.4.2以前において、格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13587として識別されるこの脆弱性は、Contributorレベル以上の権限を持つユーザーが任意のスクリプトを実行可能となる深刻な問題である。CVSS評価は6.4(中程度)とされ、早急な対応が求められている。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、Contributor以上の権限で攻撃可能に

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13578】WP-BibTeX 3.0.1以前のバージョンにXSS脆弱性、...

WordPressプラグインWP-BibTeXにストアドクロスサイトスクリプティング脆弱性が発見された。この脆弱性は3.0.1以前のバージョンに影響し、Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、ユーザー入力の不適切な処理が原因とされている。早急なアップデートによる対応が推奨される。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13575】Web Stories Enhancer 1.3以前にXSS脆...

WordPressプラグイン「Web Stories Enhancer」のバージョン1.3以前に深刻な格納型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4でContributor以上の権限を持つユーザーによる任意のスクリプト実行が可能となっており、早急なアップデートが推奨される。Peter Thaleikisによって発見されたこの脆弱性は、web_stories_enhancerショートコードの実装における入力検証の不備に起因している。

【CVE-2024-13573】WordPressプラグインZigaform Form Builder Liteに深刻な脆弱性、早急な対応が必要

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13555】1 Click WordPress Migration Plugin 2.1に深刻な脆弱性、バックアップ機能への攻撃が可能に

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13555】1 Click WordPress Migration Plu...

WordFenceは2025年2月18日、WordPressプラグイン「1 Click WordPress Migration Plugin」のバージョン2.1以前に、Cross-Site Request Forgery(CSRF)の脆弱性が存在することを公開した。この脆弱性はcancel_actions()関数のnonce検証の不備により、攻撃者が管理者を騙してバックアッププロセスをキャンセルできる可能性がある。CVSSスコアは5.3(MEDIUM)で、早急な対応が推奨される。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻撃者による投稿順序操作の危険性

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。