Tech Insights

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報漏洩のリスクに対応急ぐ

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...

MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。

【CVE-2025-24984】WindowsのNTFSに情報開示の脆弱性、物理攻撃による情報...

MicrosoftがWindowsのNTFSファイルシステムに存在する情報開示の脆弱性(CVE-2025-24984)を公開した。この脆弱性により、物理的なアクセスを持つ攻撃者が権限なしで機密情報を取得できる可能性がある。Windows 10、Windows 11、Windows Serverの広範なバージョンに影響があり、CVSSスコアは4.6(MEDIUM)と評価されている。企業環境での情報漏洩リスクが懸念され、早急なアップデートが推奨される。

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証不要で任意のファイル実行が可能に

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...

WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。

【CVE-2025-1661】HUSKY WooCommerceプラグインにLFI脆弱性、認証...

WordPressプラグイン「HUSKY - Products Filter Professional for WooCommerce」にローカルファイルインクルージョンの脆弱性が発見された。バージョン1.3.6.5以前が影響を受け、認証不要で攻撃可能なこの脆弱性は、CVSSスコア9.8のクリティカルレベルと評価されている。任意のファイル実行やデータ取得が可能となる深刻な脆弱性であり、早急な対応が求められる。

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Trend Vision One for Service Providers」の提供開始へ

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Tr...

トレンドマイクロ株式会社は2025年3月17日、サービスプロバイダ向けセキュリティサービス提供支援プラットフォーム「Trend Vision One for Service Providers」を4月1日から提供開始すると発表した。このプラットフォームは主に中小企業支援のためのリスクコンサルティングや脆弱性診断、マネージドセキュリティサービスを提供するサービスプロバイダ向けで、EPPやEDR/XDR、Cyber Risk Exposure Managementなどの機能をサービスとして顧客に提供可能になる。

トレンドマイクロがサービスプロバイダ向けセキュリティプラットフォームを発表、4月1日から「Tr...

トレンドマイクロ株式会社は2025年3月17日、サービスプロバイダ向けセキュリティサービス提供支援プラットフォーム「Trend Vision One for Service Providers」を4月1日から提供開始すると発表した。このプラットフォームは主に中小企業支援のためのリスクコンサルティングや脆弱性診断、マネージドセキュリティサービスを提供するサービスプロバイダ向けで、EPPやEDR/XDR、Cyber Risk Exposure Managementなどの機能をサービスとして顧客に提供可能になる。

NRIセキュアが低コストのペネトレーションテストサービスFast Pentestを提供開始、Windows環境の脆弱性診断が効率化

NRIセキュアが低コストのペネトレーションテストサービスFast Pentestを提供開始、W...

NRIセキュアテクノロジーズが新サービス「Fast Pentest」の提供を開始。Active Directory利用のWindows環境に特化し、外部攻撃者による侵入からドメイン管理者権限の取得、重要情報の持ち出しまでを検証。5段階の固定シナリオで最長5営業日での実施を実現し、企業の負担を軽減。従来のペネトレーションテストの課題であった期間と費用を大幅に改善した効率的なセキュリティ診断を提供。

NRIセキュアが低コストのペネトレーションテストサービスFast Pentestを提供開始、W...

NRIセキュアテクノロジーズが新サービス「Fast Pentest」の提供を開始。Active Directory利用のWindows環境に特化し、外部攻撃者による侵入からドメイン管理者権限の取得、重要情報の持ち出しまでを検証。5段階の固定シナリオで最長5営業日での実施を実現し、企業の負担を軽減。従来のペネトレーションテストの課題であった期間と費用を大幅に改善した効率的なセキュリティ診断を提供。

ファーストリテイリングの情報システムに不正アクセス、取引先と従業員の個人情報漏えいの可能性、顧客情報への影響なし

ファーストリテイリングの情報システムに不正アクセス、取引先と従業員の個人情報漏えいの可能性、顧...

ファーストリテイリングは2025年3月18日、情報システムへの不正アクセスによって取引先従業員および自社従業員の個人情報が漏えいした可能性があると発表した。2024年9月の不正アクセス検知後、直ちにシステム停止などの対策を実施。委託先事業者のネットワーク設定変更時の不備が原因と判明したが、ユニクロとジーユーの顧客情報への影響はない。

ファーストリテイリングの情報システムに不正アクセス、取引先と従業員の個人情報漏えいの可能性、顧...

ファーストリテイリングは2025年3月18日、情報システムへの不正アクセスによって取引先従業員および自社従業員の個人情報が漏えいした可能性があると発表した。2024年9月の不正アクセス検知後、直ちにシステム停止などの対策を実施。委託先事業者のネットワーク設定変更時の不備が原因と判明したが、ユニクロとジーユーの顧客情報への影響はない。

Cloudflareが統合型Security Posture Managementを発表、企業のセキュリティリスク管理を効率化

Cloudflareが統合型Security Posture Managementを発表、企業...

Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。

Cloudflareが統合型Security Posture Managementを発表、企業...

Cloudflareは2025年3月18日、メール、SaaS、クラウド、Webアプリケーションのセキュリティリスクを統合管理できるSecurity Posture Managementの一般提供を開始した。企業は平均1,000以上のアプリケーションを使用しており、新しいツールの採用によるITインフラの複雑化とサイバー攻撃リスクの増大に対応する。単一のダッシュボードで脅威を把握し、迅速な対策が可能になる。

NRIセキュアがFast Pentestを提供開始、短期間でWindows環境の攻撃耐性評価が可能に

NRIセキュアがFast Pentestを提供開始、短期間でWindows環境の攻撃耐性評価が可能に

NRIセキュアテクノロジーズは特定シナリオに基づく短期間・低コストのペネトレーションテストサービス「Fast Pentest」の提供を2025年3月18日より開始した。Windows環境におけるActive Directory利用時の攻撃耐性を5段階のシナリオで評価し、最長5営業日での実施を実現。通常のペネトレーションテストと比較して企業側の負担を大幅に軽減することが可能である。

NRIセキュアがFast Pentestを提供開始、短期間でWindows環境の攻撃耐性評価が可能に

NRIセキュアテクノロジーズは特定シナリオに基づく短期間・低コストのペネトレーションテストサービス「Fast Pentest」の提供を2025年3月18日より開始した。Windows環境におけるActive Directory利用時の攻撃耐性を5段階のシナリオで評価し、最長5営業日での実施を実現。通常のペネトレーションテストと比較して企業側の負担を大幅に軽減することが可能である。

JiteraがAI開発エージェントのセキュリティチェックシートを公開、企業のセキュリティ基準への適合性確認が容易に

JiteraがAI開発エージェントのセキュリティチェックシートを公開、企業のセキュリティ基準へ...

株式会社Jiteraは開発AIエージェント「Jitera」の導入を検討する企業向けに、経済産業省のチェックリストを基準としたセキュリティチェックシートを公開した。エンタープライズレベルのセキュリティ水準でサービスを提供し、ISO/IEC 27001:2022認証を取得。セルフホスト機能により、インターネット接続が制限される環境でも生成AIを活用した開発が可能になり、企業の生産性向上に貢献する。

JiteraがAI開発エージェントのセキュリティチェックシートを公開、企業のセキュリティ基準へ...

株式会社Jiteraは開発AIエージェント「Jitera」の導入を検討する企業向けに、経済産業省のチェックリストを基準としたセキュリティチェックシートを公開した。エンタープライズレベルのセキュリティ水準でサービスを提供し、ISO/IEC 27001:2022認証を取得。セルフホスト機能により、インターネット接続が制限される環境でも生成AIを活用した開発が可能になり、企業の生産性向上に貢献する。

【CVE-2025-26918】WordPress用Small Package Quotesプラグインにクロスサイトスクリプティングの脆弱性が発見、早急な更新が必要に

【CVE-2025-26918】WordPress用Small Package Quotesプ...

enituretechnology社のWordPress用プラグイン「Small Package Quotes – Unishippers Edition」のバージョン2.4.9以前にXSS脆弱性が発見された。CVSSスコア7.1のHigh評価で、Webページ生成時の入力値の不適切な無害化が原因。対策としてバージョン2.4.10への更新が提供されており、影響を受けるユーザーは早急なアップデートが推奨される。

【CVE-2025-26918】WordPress用Small Package Quotesプ...

enituretechnology社のWordPress用プラグイン「Small Package Quotes – Unishippers Edition」のバージョン2.4.9以前にXSS脆弱性が発見された。CVSSスコア7.1のHigh評価で、Webページ生成時の入力値の不適切な無害化が原因。対策としてバージョン2.4.10への更新が提供されており、影響を受けるユーザーは早急なアップデートが推奨される。

【CVE-2025-24985】WindowsのFAT File System Driverに重大な脆弱性、整数オーバーフローによるリモートコード実行の危険性

【CVE-2025-24985】WindowsのFAT File System Driverに...

MicrosoftはWindows Fast FAT File System Driverにおいて深刻な整数オーバーフローの脆弱性を確認し、CVE-2025-24985として公開した。この脆弱性は権限のない攻撃者がローカルでコードを実行可能で、CVSSスコア7.8と高い深刻度を示している。Windows 10、11およびServer製品の広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2025-24985】WindowsのFAT File System Driverに...

MicrosoftはWindows Fast FAT File System Driverにおいて深刻な整数オーバーフローの脆弱性を確認し、CVE-2025-24985として公開した。この脆弱性は権限のない攻撃者がローカルでコードを実行可能で、CVSSスコア7.8と高い深刻度を示している。Windows 10、11およびServer製品の広範なバージョンが影響を受け、早急なパッチ適用が推奨される。

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで対策が必要に

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...

MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。

【CVE-2025-24991】WindowsのNTFSに情報漏洩の脆弱性、広範なバージョンで...

MicrosoftはWindowsのNTFSファイルシステムにおいて、認証済み攻撃者がローカル環境で情報を取得できるOut-of-bounds Read脆弱性(CVE-2025-24991)を公開した。Windows Server 2008からWindows 11まで広範なバージョンに影響があり、CVSSスコア5.5のミディアムレベルと評価。各バージョンへのパッチが提供され、速やかな適用が推奨されている。

【CVE-2025-26633】Microsoft Management Console脆弱性の発見、Windowsの広範なバージョンに影響

【CVE-2025-26633】Microsoft Management Console脆弱性...

Microsoftは2025年3月11日、Microsoft Management Consoleにセキュリティ機能回避の脆弱性CVE-2025-26633を公開した。Windows 10からWindows 11、Windows Serverファミリーまで広範に影響し、CVSS3.1スコア7.0のHigh深刻度を記録。不適切な中和処理により、権限のない攻撃者がローカルでセキュリティ機能を回避できる可能性があり、早急な対応が必要とされている。

【CVE-2025-26633】Microsoft Management Console脆弱性...

Microsoftは2025年3月11日、Microsoft Management Consoleにセキュリティ機能回避の脆弱性CVE-2025-26633を公開した。Windows 10からWindows 11、Windows Serverファミリーまで広範に影響し、CVSS3.1スコア7.0のHigh深刻度を記録。不適切な中和処理により、権限のない攻撃者がローカルでセキュリティ機能を回避できる可能性があり、早急な対応が必要とされている。

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

Visionalグループの株式会社アシュアードは、セキュリティ評価プラットフォーム「Assured」が住友理工株式会社に導入されたことを発表した。住友理工は世界20ヶ国以上で事業を展開し、2029年に向けたビジョンでDXを活用したモノづくり革新を推進している。Assuredの導入により、増加するクラウドサービスの効率的かつ高精度なセキュリティ評価を実現する。

住友理工がセキュリティ評価プラットフォームAssuredを導入、DXモノづくり革新の効率化を推進

Visionalグループの株式会社アシュアードは、セキュリティ評価プラットフォーム「Assured」が住友理工株式会社に導入されたことを発表した。住友理工は世界20ヶ国以上で事業を展開し、2029年に向けたビジョンでDXを活用したモノづくり革新を推進している。Assuredの導入により、増加するクラウドサービスの効率的かつ高精度なセキュリティ評価を実現する。

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネットワーク名前空間の終了処理に問題

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネット...

Linuxカーネルにおいて、GTPモジュールのgtp_net_exit_batch_rtnlにおけるリスト破損の脆弱性が発見された。この問題はCVE-2025-21865として報告され、特に複数のネットワーク名前空間を使用する環境でデバイスの二重削除が発生する可能性がある。Linux 6.13以降の特定のバージョンが影響を受け、for_each_netdevループの削除による対策が必要となる。

【CVE-2025-21865】LinuxカーネルのGTPモジュールに二重削除の脆弱性、ネット...

Linuxカーネルにおいて、GTPモジュールのgtp_net_exit_batch_rtnlにおけるリスト破損の脆弱性が発見された。この問題はCVE-2025-21865として報告され、特に複数のネットワーク名前空間を使用する環境でデバイスの二重削除が発生する可能性がある。Linux 6.13以降の特定のバージョンが影響を受け、for_each_netdevループの削除による対策が必要となる。

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワーク名前空間の削除処理に問題

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワ...

Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性を公開した。この問題はネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されない状況で発生し、Linux kernel 5.19以降の特定バージョンに影響を与える。修正済みバージョンが各ブランチで提供され、TCP受信パスでのsecpath解放タイミングの調整による対策が実装された。

【CVE-2025-21864】Linux kernelにTCPセキュリティの脆弱性、ネットワ...

Linux kernelの開発チームは2025年3月12日、TCPの処理におけるsecpathとdstの解放タイミングに関する脆弱性を公開した。この問題はネットワーク名前空間の削除時にxfrm_stateの参照が適切に解放されない状況で発生し、Linux kernel 5.19以降の特定バージョンに影響を与える。修正済みバージョンが各ブランチで提供され、TCP受信パスでのsecpath解放タイミングの調整による対策が実装された。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクションの脆弱性、Subscriber権限で悪用の可能性

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-0959】WordPressプラグインEventerにSQLインジェクショ...

WordPressのイベント管理プラグイン「Eventer」にSQLインジェクションの脆弱性が発見された。バージョン3.9.9.2以前が影響を受け、CVSSスコア8.8のHIGHレベルの深刻度に分類。Subscriber以上の権限を持つ認証済みユーザーによって、データベースから機密情報を抽出される可能性がある。WordFenceが報告したこの脆弱性は、早急なアップデート対応が推奨される。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御の脆弱性、出席リストの意図しない閲覧が可能な状態に

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2025-25615】Unifiedtransform 2.0に不適切なアクセス制御...

教育管理システムUnifiedtransform 2.0において、全クラスセクションの出席リストを閲覧可能にしてしまう不適切なアクセス制御の脆弱性が発見された。CVE-2025-25615として報告されたこの脆弱性は、CVSSスコア6.0でMEDIUMと評価されており、高い特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-284に分類され、技術的影響は部分的と判断されている。

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアップデートを公開、重大な脆弱性に対処

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアッ...

Appleが2025年3月11日、iOS 18.3.2やmacOS Sequoia 15.3.2などの重要なセキュリティアップデートを公開した。Web Contentサンドボックスからの脱出を可能にする範囲外書き込みの脆弱性【CVE-2025-24201】に対処するもので、iOS 17.2以前のバージョンで標的型攻撃に利用された可能性が指摘されている。CVSSスコア7.1の高リスク脆弱性として評価され、早急な対応が推奨される。

【CVE-2025-24201】AppleがiOS 18.3.2など複数製品のセキュリティアッ...

Appleが2025年3月11日、iOS 18.3.2やmacOS Sequoia 15.3.2などの重要なセキュリティアップデートを公開した。Web Contentサンドボックスからの脱出を可能にする範囲外書き込みの脆弱性【CVE-2025-24201】に対処するもので、iOS 17.2以前のバージョンで標的型攻撃に利用された可能性が指摘されている。CVSSスコア7.1の高リスク脆弱性として評価され、早急な対応が推奨される。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null pointer dereferenceの危険性が判明

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-21844】Linuxカーネルのsmbクライアントに重大な脆弱性、null...

kernel.orgは2025年3月12日、Linuxカーネルのsmbクライアントにおいて重大な脆弱性【CVE-2025-21844】を公開した。receive_encrypted_standard()関数でnext_bufferのチェックが不十分であり、null pointer dereferenceが発生する可能性がある。Linux 6.7以降の特定バージョンが影響を受け、複数の修正パッチが提供されている。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null pointer dereferenceの対策パッチを公開

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

【CVE-2025-21848】Linuxカーネルのnfp:bpf脆弱性、null point...

kernel.orgは2025年3月12日、Linuxカーネルのnfp:bpfモジュールにおける重要な脆弱性を修正するパッチを公開した。この脆弱性は【CVE-2025-21848】として識別され、nfp_app_ctrl_msg_alloc()関数の戻り値チェックが不十分であることによりnull pointer dereferenceが発生する可能性があった。影響を受けるバージョンは4.16以降の特定のバージョンに限定されており、複数のブランチに対して修正パッチが提供されている。

【CVE-2025-1689】ThemeMakers PayPal Express Checkoutに深刻な脆弱性、貢献者権限でXSS攻撃が可能に

【CVE-2025-1689】ThemeMakers PayPal Express Check...

WordPressプラグインThemeMakers PayPal Express Checkoutにおいて、バージョン1.1.9以前に影響を及ぼすクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4で中程度の深刻度と評価され、貢献者以上の権限を持つユーザーがPaypalショートコードを介して任意のWebスクリプトを注入できる問題が確認されている。早急な対応が求められる事態となっている。

【CVE-2025-1689】ThemeMakers PayPal Express Check...

WordPressプラグインThemeMakers PayPal Express Checkoutにおいて、バージョン1.1.9以前に影響を及ぼすクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア6.4で中程度の深刻度と評価され、貢献者以上の権限を持つユーザーがPaypalショートコードを介して任意のWebスクリプトを注入できる問題が確認されている。早急な対応が求められる事態となっている。

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張子によるセキュリティスキャンのバイパスが可能に

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張...

Sonatype社はPickleファイルのセキュリティスキャンツールpicklescaneに重大な脆弱性を発見し公開した。バージョン0.0.21以前が影響を受けるこの脆弱性では、非標準拡張子を持つ悪意のあるPickleファイルを使用することでセキュリティチェックをバイパスできる。CVSSスコア5.3のミディアムレベルの脆弱性として評価され、最新版の0.0.22で修正された。

【CVE-2025-1889】picklescan 0.0.21以前に深刻な脆弱性、非標準拡張...

Sonatype社はPickleファイルのセキュリティスキャンツールpicklescaneに重大な脆弱性を発見し公開した。バージョン0.0.21以前が影響を受けるこの脆弱性では、非標準拡張子を持つ悪意のあるPickleファイルを使用することでセキュリティチェックをバイパスできる。CVSSスコア5.3のミディアムレベルの脆弱性として評価され、最新版の0.0.22で修正された。

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆...

WordPressプラグイン「Shortcodes Ultimate」のバージョン7.3.3以前に深刻な脆弱性が発見された。この脆弱性はCVE-2025-0370として識別され、CVSSスコア6.4を記録。Contributorレベル以上の権限を持つ攻撃者が、srcパラメータを介して任意のWebスクリプトを注入し、アクセスしたユーザーの環境で実行される可能性がある。

【CVE-2025-0370】Shortcodes Ultimate 7.3.3以前にXSS脆...

WordPressプラグイン「Shortcodes Ultimate」のバージョン7.3.3以前に深刻な脆弱性が発見された。この脆弱性はCVE-2025-0370として識別され、CVSSスコア6.4を記録。Contributorレベル以上の権限を持つ攻撃者が、srcパラメータを介して任意のWebスクリプトを注入し、アクセスしたユーザーの環境で実行される可能性がある。

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクで対応急ぐ

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECサイト構築プラットフォームstarsea-mall 1.0において、管理者向け機能の/admin/carousels/saveにクロスサイトスクリプティングの脆弱性が存在することが判明した。CVE-2025-2085として識別されたこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価され、既にエクスプロイトが公開されている状態であり、早急な対策が必要とされている。

【CVE-2025-2085】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECサイト構築プラットフォームstarsea-mall 1.0において、管理者向け機能の/admin/carousels/saveにクロスサイトスクリプティングの脆弱性が存在することが判明した。CVE-2025-2085として識別されたこの脆弱性は、CVSS 4.0で5.1(MEDIUM)と評価され、既にエクスプロイトが公開されている状態であり、早急な対策が必要とされている。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング脆弱性、UIの誤動作によるセキュリティリスクが発生

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

【CVE-2025-26643】Microsoft Edge Chromiumにスプーフィング...

Microsoftは2025年3月7日、Microsoft Edge(Chromiumベース)においてスプーフィング脆弱性を公開した。CVSSスコア5.4の中程度の深刻度で、認証されていない攻撃者がネットワーク経由でスプーフィング攻撃を実行できる可能性がある。影響を受けるバージョンは1.0.0から134.0.3124.51未満で、UIの誤動作により機密性と完全性に限定的な影響が及ぶ可能性がある。

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱性、認証済みユーザーによるSQL Injection攻撃の可能性

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...

WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。

【CVE-2024-13781】Hero Maps Premium 2.3.9以前に深刻な脆弱...

WordPressプラグインHero Maps Premiumのバージョン2.3.9以前に重大な脆弱性が発見された。この脆弱性は認証済みユーザーによるSQL Injectionを可能にし、データベースからの機密情報抽出のリスクがある。CVSSスコア6.5のMEDIUMレベルと評価され、Subscriber以上の権限を持つユーザーが攻撃を実行可能。AJAXアクションにおけるユーザー入力の不適切な処理が原因。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証SSRF脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2024-13904】Platform.ly for WooCommerceに未認証...

WordPressプラグインPlatform.ly for WooCommerceのバージョン1.1.6以前に、未認証のサーバサイドリクエストフォージェリ(SSRF)脆弱性が発見された。この脆弱性により、攻撃者は認証なしで内部サービスへのアクセスや情報の改変が可能となる。CVSSスコア5.3(MEDIUM)と評価され、早急な対応が必要とされている。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱性が発見、リモート攻撃のリスクが浮上

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2087】StarSea99のstarsea-mall 1.0でXSS脆弱...

StarSea99のECプラットフォームstarsea-mall 1.0で重大な脆弱性が発見された。管理者向け商品更新機能におけるgoodsName引数の処理に起因するクロスサイトスクリプティングの脆弱性で、リモートからの攻撃が可能な状態となっている。CVSSスコア4.0で評価されており、既に攻撃コードが公開されていることから早急な対応が求められる。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱性、管理者画面が攻撃対象に

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2025-2086】StarSea99のstarsea-mall 1.0にXSS脆弱...

StarSea99のEコマースプラットフォームstarsea-mall 1.0において、管理者画面のredirectUrlパラメータを介したクロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.1で中程度の深刻度だが、遠隔からの攻撃が可能でエクスプロイトコードも公開されており、早急な対応が必要とされている。特権レベルと利用者の関与が必要だが、攻撃条件の複雑さは低いと評価されている。

【CVE-2024-13431】Simply Schedule Appointmentsにクロスサイトスクリプティングの脆弱性が発見、バージョン1.6.8.3以前に影響

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。

【CVE-2024-13431】Simply Schedule Appointmentsにクロ...

WordPressプラグインSimply Schedule Appointmentsにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は入力サニタイズと出力エスケープの不備に起因しており、バージョン1.6.8.3以前のすべてのバージョンに影響を与える。CVSSスコアは6.1で深刻度は中程度とされ、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。利用者の操作を誘導することでスクリプトが実行される危険性が存在している。