Tech Insights

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの脆弱性が発見、プロフィール画像機能での任意コード実行が可能に

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-13234】Product Table by WBWにSQLインジェクションの脆弱性、未認証での攻撃が可能に

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にXSS脆弱性、貢献者権限で悪用の可能性

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報アクセスが可能に

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サンドボックス制限を強化

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル解析時の異常終了問題に対処

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証済みユーザーによるSQLインジェクションの脆弱性が発見、データベースからの機密情報抽出のリスクに

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13758】CP Contact Form with PayPalでCSRF脆弱性を確認、管理者権限での不正操作が可能に

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なSQLインジェクション脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0846】Employee Task Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、クロスサイトスクリプティングの危険性が浮上

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスによる攻撃のリスクに対応

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスに...

MediaTek社が2025年2月3日、同社のV5 DAにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。この脆弱性は物理アクセスを持つ攻撃者によって悪用される可能性があり、Android 12.0から15.0を搭載した42種類のMediaTekチップが影響を受ける。CVSSスコアは6.8(Medium)で、ALPS09291402というパッチIDとMSV-2073という問題IDで管理されている。

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスに...

MediaTek社が2025年2月3日、同社のV5 DAにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。この脆弱性は物理アクセスを持つ攻撃者によって悪用される可能性があり、Android 12.0から15.0を搭載した42種類のMediaTekチップが影響を受ける。CVSSスコアは6.8(Medium)で、ALPS09291402というパッチIDとMSV-2073という問題IDで管理されている。

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Android 12.0から15.0の複数デバイスに影響

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Androi...

MediaTekは2025年2月3日、同社のsecmemにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。CVSSスコア7.8(High)と評価されたこの脆弱性は、MT6580からMT8798までの広範なプロセッサに影響を与え、Android 12.0から15.0を搭載したデバイスが対象となる。攻撃者がシステム権限を取得していた場合、ユーザーの操作なしで更なる権限昇格が可能となる。

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Androi...

MediaTekは2025年2月3日、同社のsecmemにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。CVSSスコア7.8(High)と評価されたこの脆弱性は、MT6580からMT8798までの広範なプロセッサに影響を与え、Android 12.0から15.0を搭載したデバイスが対象となる。攻撃者がシステム権限を取得していた場合、ユーザーの操作なしで更なる権限昇格が可能となる。

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上のチップセットに影響し権限昇格の恐れ

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上...

MediaTek社のDAコンポーネントにおいて、境界チェックの欠如によるバッファオーバーフロー脆弱性が発見された。この脆弱性により、デバイスへの物理アクセスが可能な攻撃者による権限昇格のリスクがある。影響を受けるのはMT6739やMT6761など40以上のチップセットで、Android 12.0から15.0を搭載するデバイスが対象だ。CVSSスコアは6.2(Medium)と評価されている。

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上...

MediaTek社のDAコンポーネントにおいて、境界チェックの欠如によるバッファオーバーフロー脆弱性が発見された。この脆弱性により、デバイスへの物理アクセスが可能な攻撃者による権限昇格のリスクがある。影響を受けるのはMT6739やMT6761など40以上のチップセットで、Android 12.0から15.0を搭載するデバイスが対象だ。CVSSスコアは6.2(Medium)と評価されている。

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上のチップに影響

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上...

MediaTek社は2025年2月3日、DAコンポーネントに境界チェックの不備による脆弱性を公開した。この脆弱性はMT6739、MT6761、MT6765など40以上のチップに影響を与え、物理アクセスによる情報漏洩のリスクがある。Android 12.0から15.0まで影響を受け、CVSSスコアは6.2(Medium)と評価されている。パッチIDはALPS09291146として提供され、早急な対応が必要とされている。

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上...

MediaTek社は2025年2月3日、DAコンポーネントに境界チェックの不備による脆弱性を公開した。この脆弱性はMT6739、MT6761、MT6765など40以上のチップに影響を与え、物理アクセスによる情報漏洩のリスクがある。Android 12.0から15.0まで影響を受け、CVSSスコアは6.2(Medium)と評価されている。パッチIDはALPS09291146として提供され、早急な対応が必要とされている。

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報漏洩の脆弱性が発見、Android 12.0から15.0に影響

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報...

MediaTek社は2025年2月3日、同社の複数のプロセッサに影響を与える脆弱性【CVE-2025-20643】を公開した。この脆弱性はDAにおけるバウンドチェックの欠如に起因しており、物理的なアクセス権を持つ攻撃者がシステム権限を取得した場合にローカル情報の漏洩につながる可能性がある。影響を受けるデバイスはMT6739やMT6761など40以上のプロセッサモデルに及び、CVSS v3.1で5.7(MEDIUM)と評価されている。

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報...

MediaTek社は2025年2月3日、同社の複数のプロセッサに影響を与える脆弱性【CVE-2025-20643】を公開した。この脆弱性はDAにおけるバウンドチェックの欠如に起因しており、物理的なアクセス権を持つ攻撃者がシステム権限を取得した場合にローカル情報の漏洩につながる可能性がある。影響を受けるデバイスはMT6739やMT6761など40以上のプロセッサモデルに及び、CVSS v3.1で5.7(MEDIUM)と評価されている。

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデルに影響の可能性

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデル...

MediaTek社は2025年2月3日、同社のプロセッサに特権昇格の脆弱性【CVE-2025-20639】が発見されたことを公開した。DAにおける境界チェックの欠如により、物理アクセスを得た攻撃者による特権昇格が可能になる状態であることが判明。MT6739やMT6761など40以上のモデルのプロセッサがAndroid 12.0から15.0の環境で影響を受ける可能性がある。

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデル...

MediaTek社は2025年2月3日、同社のプロセッサに特権昇格の脆弱性【CVE-2025-20639】が発見されたことを公開した。DAにおける境界チェックの欠如により、物理アクセスを得た攻撃者による特権昇格が可能になる状態であることが判明。MT6739やMT6761など40以上のモデルのプロセッサがAndroid 12.0から15.0の環境で影響を受ける可能性がある。

オプティムのOptimal BizがOPTiM Bizへ名称変更、AIチャットボット搭載のバージョン10.0へアップデート予定

オプティムのOptimal BizがOPTiM Bizへ名称変更、AIチャットボット搭載のバー...

株式会社オプティムは、モバイルデバイス管理サービス「Optimal Biz」を2025年2月9日付でバージョン10.0へアップデートし、サービス名称を「OPTiM Biz」へ変更すると発表。UIデザインを刷新し、AIチャットボットによる問い合わせサポート機能を新たに搭載。OPTiMオフィスDXサービス群との親和性を高め、より包括的な管理機能を提供する。

オプティムのOptimal BizがOPTiM Bizへ名称変更、AIチャットボット搭載のバー...

株式会社オプティムは、モバイルデバイス管理サービス「Optimal Biz」を2025年2月9日付でバージョン10.0へアップデートし、サービス名称を「OPTiM Biz」へ変更すると発表。UIデザインを刷新し、AIチャットボットによる問い合わせサポート機能を新たに搭載。OPTiMオフィスDXサービス群との親和性を高め、より包括的な管理機能を提供する。