Tech Insights
住友電工情報システムが楽々WorkflowIIの新バージョンを発売、PDFファイルのインライン...
住友電工情報システムは楽々WorkflowII Ver.8.3.2.0とタイムスタンプ連携オプション Ver.1.2.0.0の販売を開始した。PDFファイルやテキストファイルのインライン表示が可能になり、申請内容の確認作業が効率化。タイムスタンプ連携オプションでは電子帳簿保存法以外での利用も可能になり、改ざん防止と証跡管理が強化された。
住友電工情報システムが楽々WorkflowIIの新バージョンを発売、PDFファイルのインライン...
住友電工情報システムは楽々WorkflowII Ver.8.3.2.0とタイムスタンプ連携オプション Ver.1.2.0.0の販売を開始した。PDFファイルやテキストファイルのインライン表示が可能になり、申請内容の確認作業が効率化。タイムスタンプ連携オプションでは電子帳簿保存法以外での利用も可能になり、改ざん防止と証跡管理が強化された。
MicrosoftがWindows 11 Insider Preview Build 2263...
MicrosoftはWindows 11 Insider Preview Build 22635.4880をBetaチャネルで公開し、Settings画面のクラッシュ問題を修正。また、PaintアプリにはCopilotメニューが追加され、Cocreator、Image Creator、Generative eraseなどのAI機能へのアクセスが容易になった。新機能はControl Feature Rollout技術により段階的に展開され、ユーザーはWindows Updateのトグルで早期アクセスが可能だ。
MicrosoftがWindows 11 Insider Preview Build 2263...
MicrosoftはWindows 11 Insider Preview Build 22635.4880をBetaチャネルで公開し、Settings画面のクラッシュ問題を修正。また、PaintアプリにはCopilotメニューが追加され、Cocreator、Image Creator、Generative eraseなどのAI機能へのアクセスが容易になった。新機能はControl Feature Rollout技術により段階的に展開され、ユーザーはWindows Updateのトグルで早期アクセスが可能だ。
MicrosoftがAzure Developer CLI 1.12.0をリリース、Azure...
MicrosoftはAzure Developer CLI 1.12.0を2025年2月7日にリリースした。今回のアップデートでは、Azure Key Vaultシークレット管理のための新コマンド「azd env set-secret」が追加され、Maven プロジェクトの検出機能が改善された。また、Bicep CLIのv0.33.93へのアップデートやRedis Azure Verified Modulesでのネイティブシークレットエクスポート対応など、開発効率を高める多くの機能強化が実施されている。
MicrosoftがAzure Developer CLI 1.12.0をリリース、Azure...
MicrosoftはAzure Developer CLI 1.12.0を2025年2月7日にリリースした。今回のアップデートでは、Azure Key Vaultシークレット管理のための新コマンド「azd env set-secret」が追加され、Maven プロジェクトの検出機能が改善された。また、Bicep CLIのv0.33.93へのアップデートやRedis Azure Verified Modulesでのネイティブシークレットエクスポート対応など、開発効率を高める多くの機能強化が実施されている。
【CVE-2024-24753】WordPress用Kadence Blocks 3.3.1に...
Kadence WPはWordPress用プラグインKadence Blocksのバージョン3.3.1以前に存在する認証に関する脆弱性を2025年1月24日に公開した。CVE-2024-24753として識別され、CVSSスコア4.3(MEDIUM)の評価となっている。この脆弱性は認証の設定が不適切であり、アクセス制御レベルの構成に問題があることが判明。バージョン3.3.2で修正されており、すべてのユーザーに対して速やかなアップデートを推奨している。
【CVE-2024-24753】WordPress用Kadence Blocks 3.3.1に...
Kadence WPはWordPress用プラグインKadence Blocksのバージョン3.3.1以前に存在する認証に関する脆弱性を2025年1月24日に公開した。CVE-2024-24753として識別され、CVSSスコア4.3(MEDIUM)の評価となっている。この脆弱性は認証の設定が不適切であり、アクセス制御レベルの構成に問題があることが判明。バージョン3.3.2で修正されており、すべてのユーザーに対して速やかなアップデートを推奨している。
【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリテ...
Appleは2025年1月27日、macOS Sequoia、Safari、iOS、iPadOSの最新バージョンにおいて、アドレスバー偽装の脆弱性に対する修正を含むセキュリティアップデートを公開した。CVSSスコア4.3の中程度の脆弱性で、悪意のあるWebサイトを通じてアドレスバーの表示が改ざんされる可能性があったが、追加のロジック実装により対処された。
【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリテ...
Appleは2025年1月27日、macOS Sequoia、Safari、iOS、iPadOSの最新バージョンにおいて、アドレスバー偽装の脆弱性に対する修正を含むセキュリティアップデートを公開した。CVSSスコア4.3の中程度の脆弱性で、悪意のあるWebサイトを通じてアドレスバーの表示が改ざんされる可能性があったが、追加のロジック実装により対処された。
【CVE-2025-23374】Dell Enterprise SONiC OSに深刻な脆弱性...
Dellは2025年1月30日、Enterprise SONiC OSのバージョン4.4.1未満および4.2.3未満に影響を与える重大な脆弱性を公開した。CVE-2025-23374として識別されるこの脆弱性は、CVSS v3.1で8.0のハイリスクと評価されており、リモートアクセス権限を持つ攻撃者によって機密情報が漏洩する可能性がある。早急なアップデートが推奨されている。
【CVE-2025-23374】Dell Enterprise SONiC OSに深刻な脆弱性...
Dellは2025年1月30日、Enterprise SONiC OSのバージョン4.4.1未満および4.2.3未満に影響を与える重大な脆弱性を公開した。CVE-2025-23374として識別されるこの脆弱性は、CVSS v3.1で8.0のハイリスクと評価されており、リモートアクセス権限を持つ攻撃者によって機密情報が漏洩する可能性がある。早急なアップデートが推奨されている。
【CVE-2025-23006】SonicWallのSMA1000に認証前の任意コード実行の脆...
SonicWallのSMA1000アプライアンス管理コンソールおよびセントラル管理コンソールにおいて、認証前のデシリアライゼーション脆弱性が発見された。この脆弱性はバージョン12.4.3-02804以前に影響し、未認証のリモート攻撃者による任意のOSコマンド実行を可能にする。CVSSスコア9.8のクリティカルな深刻度と攻撃の自動化が可能な点から、早急な対応が求められている。
【CVE-2025-23006】SonicWallのSMA1000に認証前の任意コード実行の脆...
SonicWallのSMA1000アプライアンス管理コンソールおよびセントラル管理コンソールにおいて、認証前のデシリアライゼーション脆弱性が発見された。この脆弱性はバージョン12.4.3-02804以前に影響し、未認証のリモート攻撃者による任意のOSコマンド実行を可能にする。CVSSスコア9.8のクリティカルな深刻度と攻撃の自動化が可能な点から、早急な対応が求められている。
【CVE-2025-22475】Dell PowerProtect DDに暗号化実装の脆弱性、...
Dellは2025年2月4日、ストレージ製品Dell PowerProtect DDにおいて暗号化実装に関する脆弱性を公開した。DDOS 8.3.0.0、7.10.1.50、7.13.1.10より前のバージョンが影響を受け、リモート攻撃による情報改ざんのリスクが存在する。CVSSスコア3.7のLowレベルと評価されており、Dellは該当するバージョンのユーザーに対して最新バージョンへのアップデートを推奨している。
【CVE-2025-22475】Dell PowerProtect DDに暗号化実装の脆弱性、...
Dellは2025年2月4日、ストレージ製品Dell PowerProtect DDにおいて暗号化実装に関する脆弱性を公開した。DDOS 8.3.0.0、7.10.1.50、7.13.1.10より前のバージョンが影響を受け、リモート攻撃による情報改ざんのリスクが存在する。CVSSスコア3.7のLowレベルと評価されており、Dellは該当するバージョンのユーザーに対して最新バージョンへのアップデートを推奨している。
【CVE-2025-21676】Linuxカーネルのfecドライバにおけるメモリ割り当てエラー...
kernel.orgは2025年1月31日、Linuxカーネルのfecドライバにおけるpage_pool_dev_alloc_pagesのエラー処理に関する脆弱性【CVE-2025-21676】を公開した。この脆弱性は特にシステムがメモリ圧迫状態にある場合に発生しやすく、Linuxカーネルバージョン6.1以降のシステムに影響を与える可能性がある。セキュリティアップデートの適用により、システムの安定性が向上し、予期せぬクラッシュのリスクが軽減される。
【CVE-2025-21676】Linuxカーネルのfecドライバにおけるメモリ割り当てエラー...
kernel.orgは2025年1月31日、Linuxカーネルのfecドライバにおけるpage_pool_dev_alloc_pagesのエラー処理に関する脆弱性【CVE-2025-21676】を公開した。この脆弱性は特にシステムがメモリ圧迫状態にある場合に発生しやすく、Linuxカーネルバージョン6.1以降のシステムに影響を与える可能性がある。セキュリティアップデートの適用により、システムの安定性が向上し、予期せぬクラッシュのリスクが軽減される。
【CVE-2025-21173】MicrosoftのNET 8.0と9.0に特権昇格の脆弱性、...
Microsoftは2025年1月14日、.NET 8.0と9.0、およびVisual Studio 2022の複数バージョンに特権昇格の脆弱性が存在することを公開した。CVSSスコア7.3の高リスク脆弱性として分類され、一時ファイルの作成時における不適切な権限設定に起因する問題であることが判明。影響を受けるバージョンに対して、すでにアップデートが提供されている。
【CVE-2025-21173】MicrosoftのNET 8.0と9.0に特権昇格の脆弱性、...
Microsoftは2025年1月14日、.NET 8.0と9.0、およびVisual Studio 2022の複数バージョンに特権昇格の脆弱性が存在することを公開した。CVSSスコア7.3の高リスク脆弱性として分類され、一時ファイルの作成時における不適切な権限設定に起因する問題であることが判明。影響を受けるバージョンに対して、すでにアップデートが提供されている。
【CVE-2025-1019】MozillaのFirefoxとThunderbirdにフルスク...
Mozilla CorporationはFirefoxとThunderbirdにおいて、フルスクリーン通知の表示に関する重要な脆弱性【CVE-2025-1019】を2025年2月4日に公開した。この脆弱性は、ブラウザウィンドウのz-orderを操作することでフルスクリーン通知を隠蔽できる問題であり、スプーフィング攻撃に悪用される可能性が指摘されている。Firefox 135未満およびThunderbird 135未満のバージョンが影響を受ける。
【CVE-2025-1019】MozillaのFirefoxとThunderbirdにフルスク...
Mozilla CorporationはFirefoxとThunderbirdにおいて、フルスクリーン通知の表示に関する重要な脆弱性【CVE-2025-1019】を2025年2月4日に公開した。この脆弱性は、ブラウザウィンドウのz-orderを操作することでフルスクリーン通知を隠蔽できる問題であり、スプーフィング攻撃に悪用される可能性が指摘されている。Firefox 135未満およびThunderbird 135未満のバージョンが影響を受ける。
【CVE-2025-1018】Firefox 135未満とThunderbird 135未満に...
Mozillaは2025年2月4日、FirefoxとThunderbirdの135未満のバージョンにおいて、フルスクリーン通知が早期に非表示になる脆弱性を発見したことを発表した。この脆弱性はCVE-2025-1018として識別され、CVSSスコア7.3の高リスク評価を受けている。攻撃者はこの脆弱性を利用してスプーフィング攻撃を実行する可能性があり、早急な対応が推奨される。
【CVE-2025-1018】Firefox 135未満とThunderbird 135未満に...
Mozillaは2025年2月4日、FirefoxとThunderbirdの135未満のバージョンにおいて、フルスクリーン通知が早期に非表示になる脆弱性を発見したことを発表した。この脆弱性はCVE-2025-1018として識別され、CVSSスコア7.3の高リスク評価を受けている。攻撃者はこの脆弱性を利用してスプーフィング攻撃を実行する可能性があり、早急な対応が推奨される。
【CVE-2025-1016】MozillaがFirefox 134などの深刻な脆弱性を修正、...
Mozilla CorporationはFirefox 134やThunderbird 134などの製品に存在するメモリ安全性の脆弱性を修正した。CVSS v3.1で9.8のクリティカルと評価されるこの脆弱性は、任意のコード実行のリスクを含んでおり、Firefox 135などの最新バージョンで対策が施されている。Mozilla Fuzzingチームの貢献により早期発見・対応が実現し、セキュリティ強化が図られた。
【CVE-2025-1016】MozillaがFirefox 134などの深刻な脆弱性を修正、...
Mozilla CorporationはFirefox 134やThunderbird 134などの製品に存在するメモリ安全性の脆弱性を修正した。CVSS v3.1で9.8のクリティカルと評価されるこの脆弱性は、任意のコード実行のリスクを含んでおり、Firefox 135などの最新バージョンで対策が施されている。Mozilla Fuzzingチームの貢献により早期発見・対応が実現し、セキュリティ強化が図られた。
【CVE-2025-1014】Firefox、FirefoxESR、Thunderbirdに証...
Mozilla社が2025年2月4日に、Firefox、Firefox ESR、Thunderbirdにおける証明書ストアへの追加時の証明書長チェックに関する脆弱性を公開した。CVE-2025-1014として識別される本脆弱性は、CVSS 3.1で深刻度8.8のHIGHに分類され、Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満のバージョンに影響を与える。信頼された証明書データのみが処理される実装により実際の影響は限定的とされている。
【CVE-2025-1014】Firefox、FirefoxESR、Thunderbirdに証...
Mozilla社が2025年2月4日に、Firefox、Firefox ESR、Thunderbirdにおける証明書ストアへの追加時の証明書長チェックに関する脆弱性を公開した。CVE-2025-1014として識別される本脆弱性は、CVSS 3.1で深刻度8.8のHIGHに分類され、Firefox 135未満、Firefox ESR 128.7未満、Thunderbird 128.7未満および135未満のバージョンに影響を与える。信頼された証明書データのみが処理される実装により実際の影響は限定的とされている。
【CVE-2025-1012】MozillaがFirefoxの重大な脆弱性を修正、複数バージョ...
Mozilla Corporationは2025年2月4日、Firefoxおよび関連製品に影響を与える重大な脆弱性パッチを公開した。この脆弱性は並行delazification処理中のレースコンディションによってuse-after-freeが発生する可能性があり、Firefox 135未満を含む複数のバージョンに影響を与える。CISAによる評価ではCVSS v3.1スコアが9.8と非常に高く、早急な対応が求められている。
【CVE-2025-1012】MozillaがFirefoxの重大な脆弱性を修正、複数バージョ...
Mozilla Corporationは2025年2月4日、Firefoxおよび関連製品に影響を与える重大な脆弱性パッチを公開した。この脆弱性は並行delazification処理中のレースコンディションによってuse-after-freeが発生する可能性があり、Firefox 135未満を含む複数のバージョンに影響を与える。CISAによる評価ではCVSS v3.1スコアが9.8と非常に高く、早急な対応が求められている。
【CVE-2025-1010】MozillaのCustom Highlight APIに深刻な...
MozillaはFirefoxとThunderbirdの複数バージョンに影響を与えるCustom Highlight APIの重大な脆弱性を公表した。【CVE-2025-1010】として識別されるこの脆弱性は、CVSS 9.8の最高レベルの危険度を持ち、リモートからの攻撃が可能なuse-after-free脆弱性である。影響を受ける製品はFirefox 135未満、Firefox ESR 115.20未満および128.7未満、Thunderbird 128.7未満および135未満のバージョンとなっている。
【CVE-2025-1010】MozillaのCustom Highlight APIに深刻な...
MozillaはFirefoxとThunderbirdの複数バージョンに影響を与えるCustom Highlight APIの重大な脆弱性を公表した。【CVE-2025-1010】として識別されるこの脆弱性は、CVSS 9.8の最高レベルの危険度を持ち、リモートからの攻撃が可能なuse-after-free脆弱性である。影響を受ける製品はFirefox 135未満、Firefox ESR 115.20未満および128.7未満、Thunderbird 128.7未満および135未満のバージョンとなっている。
【CVE-2025-0994】Trimble Cityworksにデシリアライゼーションの脆弱...
ICS-CERTがTrimble CityworksおよびCityworks with office companionにデシリアライゼーションの脆弱性を確認した。影響を受けるバージョンはCityworks 15.8.9未満およびCityworks with office companion 23.10未満で、認証済みユーザーがMicrosoft IIS Webサーバーに対してリモートコード実行攻撃を実行できる可能性がある。CVSSスコアは8.6(HIGH)と高い深刻度が付与されている。
【CVE-2025-0994】Trimble Cityworksにデシリアライゼーションの脆弱...
ICS-CERTがTrimble CityworksおよびCityworks with office companionにデシリアライゼーションの脆弱性を確認した。影響を受けるバージョンはCityworks 15.8.9未満およびCityworks with office companion 23.10未満で、認証済みユーザーがMicrosoft IIS Webサーバーに対してリモートコード実行攻撃を実行できる可能性がある。CVSSスコアは8.6(HIGH)と高い深刻度が付与されている。
【CVE-2025-0943】itsourcecode Tailoring Managemen...
VulDBは2025年2月1日、itsourcecode Tailoring Management System 1.0のdeldoc.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。CVE-2025-0943として識別されたこの脆弱性は、CVSSスコアでバージョン4.0で5.3(MEDIUM)と評価されており、非認証での遠隔操作が可能であることから、早急な対応が必要とされている。
【CVE-2025-0943】itsourcecode Tailoring Managemen...
VulDBは2025年2月1日、itsourcecode Tailoring Management System 1.0のdeldoc.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。CVE-2025-0943として識別されたこの脆弱性は、CVSSスコアでバージョン4.0で5.3(MEDIUM)と評価されており、非認証での遠隔操作が可能であることから、早急な対応が必要とされている。
【CVE-2025-0873】itsourcecode Tailoring Managemen...
VulDBが2025年1月30日、itsourcecode Tailoring Management System 1.0のcustomeredit.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はid、address、fullname、phonenumber、email、city、commentの各パラメータに影響を及ぼし、CVSS 4.0で5.3点、CVSS 3.1で6.3点のMediumレベルと評価されている。リモートからの攻撃が可能で、顧客情報の漏洩や改ざんのリスクが存在する。
【CVE-2025-0873】itsourcecode Tailoring Managemen...
VulDBが2025年1月30日、itsourcecode Tailoring Management System 1.0のcustomeredit.phpファイルにSQLインジェクションの脆弱性が存在することを公開した。この脆弱性はid、address、fullname、phonenumber、email、city、commentの各パラメータに影響を及ぼし、CVSS 4.0で5.3点、CVSS 3.1で6.3点のMediumレベルと評価されている。リモートからの攻撃が可能で、顧客情報の漏洩や改ざんのリスクが存在する。
【CVE-2025-0849】CampCodes School Management Soft...
CampCodesのSchool Management Software 1.0において、Staff Handler機能の/edit-staff/に不適切な認可処理の脆弱性が発見された。CVE-2025-0849として識別されたこの脆弱性は、既にエクスプロイトコードが公開されており、教育機関の重要データが危険にさらされる可能性がある。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、早急な対応が求められている。
【CVE-2025-0849】CampCodes School Management Soft...
CampCodesのSchool Management Software 1.0において、Staff Handler機能の/edit-staff/に不適切な認可処理の脆弱性が発見された。CVE-2025-0849として識別されたこの脆弱性は、既にエクスプロイトコードが公開されており、教育機関の重要データが危険にさらされる可能性がある。CVSSスコアは4.0で5.3(MEDIUM)、3.1で6.3(MEDIUM)と評価され、早急な対応が求められている。
【CVE-2025-0844】needyamin Library Card System 1....
needyamin Library Card System 1.0のRegistration Pageにおいて、signup.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。firstname、lastname、email、borrow、user_addressの各パラメータが影響を受け、リモートからの攻撃が可能である。CVSS 4.0で6.9(MEDIUM)のスコアが付けられており、特権は不要だがユーザーの関与が必要とされている。
【CVE-2025-0844】needyamin Library Card System 1....
needyamin Library Card System 1.0のRegistration Pageにおいて、signup.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。firstname、lastname、email、borrow、user_addressの各パラメータが影響を受け、リモートからの攻撃が可能である。CVSS 4.0で6.9(MEDIUM)のスコアが付けられており、特権は不要だがユーザーの関与が必要とされている。
【CVE-2025-0540】itsourcecode Tailoring Managemen...
itsourcecode Tailoring Management System 1.0のexpadd.phpファイルにSQL injection脆弱性が発見された。CVE-2025-0540として識別されるこの脆弱性は、expcat引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは4.0で5.3(MEDIUM)と評価され、システムの整合性に影響を及ぼす可能性がある。実証コードも公開されており、早急な対応が求められる状況だ。
【CVE-2025-0540】itsourcecode Tailoring Managemen...
itsourcecode Tailoring Management System 1.0のexpadd.phpファイルにSQL injection脆弱性が発見された。CVE-2025-0540として識別されるこの脆弱性は、expcat引数の不適切な処理により発生し、リモートからの攻撃が可能。CVSSスコアは4.0で5.3(MEDIUM)と評価され、システムの整合性に影響を及ぼす可能性がある。実証コードも公開されており、早急な対応が求められる状況だ。
【CVE-2025-0510】Thunderbirdに送信者アドレス表示の脆弱性、バージョン1...
Mozilla Corporationは2025年2月4日、メールクライアントソフトウェアThunderbirdにおいて送信者アドレスの表示に関する脆弱性を公開した。CVE-2024-49040で説明される無効なグループ名構文を使用した場合に発生し、メールの送信者アドレスが誤って表示される問題。Thunderbird 128.7未満および135未満のバージョンが影響を受け、CVSSスコアは6.5(MEDIUM)と評価されている。
【CVE-2025-0510】Thunderbirdに送信者アドレス表示の脆弱性、バージョン1...
Mozilla Corporationは2025年2月4日、メールクライアントソフトウェアThunderbirdにおいて送信者アドレスの表示に関する脆弱性を公開した。CVE-2024-49040で説明される無効なグループ名構文を使用した場合に発生し、メールの送信者アドレスが誤って表示される問題。Thunderbird 128.7未満および135未満のバージョンが影響を受け、CVSSスコアは6.5(MEDIUM)と評価されている。
【CVE-2025-0350】Divi Carousel Lite 2.0.4にクロスサイトス...
WordPressプラグイン「Divi Carousel Maker」のバージョン2.0.4以前に、画像カルーセルとロゴカルーセルウィジェットでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、任意のWebスクリプトの注入が可能となっている。CVSSスコアは6.4で中程度の深刻度と評価されており、早急な対応が求められている。
【CVE-2025-0350】Divi Carousel Lite 2.0.4にクロスサイトス...
WordPressプラグイン「Divi Carousel Maker」のバージョン2.0.4以前に、画像カルーセルとロゴカルーセルウィジェットでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、任意のWebスクリプトの注入が可能となっている。CVSSスコアは6.4で中程度の深刻度と評価されており、早急な対応が求められている。
【CVE-2024-13659】WordPressプラグインListamester 2.3.4...
WordPressプラグインListamesterにおいて、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入できるクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-13659】として識別され、CVSSスコア6.4の中程度の重要度と評価されている。影響を受けるのはバージョン2.3.4以前のすべてのバージョンであり、早急なアップデートが推奨される。
【CVE-2024-13659】WordPressプラグインListamester 2.3.4...
WordPressプラグインListamesterにおいて、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入できるクロスサイトスクリプティング脆弱性が発見された。この脆弱性は【CVE-2024-13659】として識別され、CVSSスコア6.4の中程度の重要度と評価されている。影響を受けるのはバージョン2.3.4以前のすべてのバージョンであり、早急なアップデートが推奨される。
【CVE-2024-13594】Simple Downloads List 1.4.2以前にS...
WordPressプラグインSimple Downloads List 1.4.2以前のバージョンにSQL Injectionの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度であり、認証済みのContributor以上の権限を持つユーザーが、neofix_sdlショートコードのcategoryパラメータを悪用することで、データベースから機密情報を抽出できる状態にある。Peter Thaleikisによって発見され、すでに修正版が公開されている。
【CVE-2024-13594】Simple Downloads List 1.4.2以前にS...
WordPressプラグインSimple Downloads List 1.4.2以前のバージョンにSQL Injectionの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度であり、認証済みのContributor以上の権限を持つユーザーが、neofix_sdlショートコードのcategoryパラメータを悪用することで、データベースから機密情報を抽出できる状態にある。Peter Thaleikisによって発見され、すでに修正版が公開されている。
【CVE-2024-13583】WordPressプラグインSimple Gallery wi...
WordPressプラグインSimple Gallery with Filter 2.0以前のバージョンに、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13583として識別されたこの脆弱性は、c2tw_sgwfショートコードを介して任意のスクリプトを注入できる問題で、CVSS v3.1で6.4(MEDIUM)と評価されている。開発者は早急なアップデートの適用を推奨している。
【CVE-2024-13583】WordPressプラグインSimple Gallery wi...
WordPressプラグインSimple Gallery with Filter 2.0以前のバージョンに、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13583として識別されたこの脆弱性は、c2tw_sgwfショートコードを介して任意のスクリプトを注入できる問題で、CVSS v3.1で6.4(MEDIUM)と評価されている。開発者は早急なアップデートの適用を推奨している。
【CVE-2024-13550】ABC Notation 6.1.3にパストラバーサルの脆弱性...
WordPressプラグインABC Notationの全バージョン(6.1.3以前)にパストラバーサル脆弱性が発見された。Contributor以上の権限を持つユーザーがabcjsショートコードのfile属性を悪用することで、サーバー上の任意のファイルを読み取ることが可能となる。CVSSスコア6.5のミディアムレベルと評価されており、早急な対応が求められる。
【CVE-2024-13550】ABC Notation 6.1.3にパストラバーサルの脆弱性...
WordPressプラグインABC Notationの全バージョン(6.1.3以前)にパストラバーサル脆弱性が発見された。Contributor以上の権限を持つユーザーがabcjsショートコードのfile属性を悪用することで、サーバー上の任意のファイルを読み取ることが可能となる。CVSSスコア6.5のミディアムレベルと評価されており、早急な対応が求められる。
【CVE-2024-13449】WordPressプラグインBoom Fest 2.2.1に認...
WordPressプラグインのBoom Festにおいて、バージョン2.2.1以前に認証機能の脆弱性が発見された。この問題により、Subscriber以上の権限を持つユーザーがプラグインの設定を不正に変更できる状態となっている。CVSSスコアは5.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権も不要とされており、早急な対応が必要とされている。
【CVE-2024-13449】WordPressプラグインBoom Fest 2.2.1に認...
WordPressプラグインのBoom Festにおいて、バージョン2.2.1以前に認証機能の脆弱性が発見された。この問題により、Subscriber以上の権限を持つユーザーがプラグインの設定を不正に変更できる状態となっている。CVSSスコアは5.3(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権も不要とされており、早急な対応が必要とされている。
【CVE-2024-13335】Sastra Essential Addonsで認証機能の不備...
WordPressプラグイン「Sastra Essential Addons for Elementor」のバージョン1.0.14以前に、認証機能の重大な不備が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが未認証でテーマをインストール可能となっており、サイトのセキュリティリスクが高まっている。CVSS v3.1での評価は4.3(MEDIUM)で、早急な対応が推奨される。
【CVE-2024-13335】Sastra Essential Addonsで認証機能の不備...
WordPressプラグイン「Sastra Essential Addons for Elementor」のバージョン1.0.14以前に、認証機能の重大な不備が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが未認証でテーマをインストール可能となっており、サイトのセキュリティリスクが高まっている。CVSS v3.1での評価は4.3(MEDIUM)で、早急な対応が推奨される。