Tech Insights
code-projects Train Ticket Reservation System 1...
2025年4月28日、VulDBはcode-projects Train Ticket Reservation System 1.0における深刻な脆弱性CVE-2025-4038を公開した。この脆弱性は、スタックベースのバッファオーバーフローであり、ローカルからの攻撃で悪用される可能性がある。CVSSスコアは4.8で、迅速な対応が必要だ。
code-projects Train Ticket Reservation System 1...
2025年4月28日、VulDBはcode-projects Train Ticket Reservation System 1.0における深刻な脆弱性CVE-2025-4038を公開した。この脆弱性は、スタックベースのバッファオーバーフローであり、ローカルからの攻撃で悪用される可能性がある。CVSSスコアは4.8で、迅速な対応が必要だ。
カスタマークラウド、AIエージェント型ブラウザ「Fellou」日本初セミナー開催
Lark公式パートナーのカスタマークラウド株式会社は、世界初(情報源)のAIエージェント型ブラウザ「Fellou」の日本初セミナーを2025年5月16日に開催した。本セミナーでは、AIが複数のWebページを横断して作業を自動化するFellouの機能と業務活用シーンを実演。生成AIの次に来る「エージェントAI」の実用例として注目を集めるFellouは、業務効率化に大きく貢献する可能性を秘めている。
カスタマークラウド、AIエージェント型ブラウザ「Fellou」日本初セミナー開催
Lark公式パートナーのカスタマークラウド株式会社は、世界初(情報源)のAIエージェント型ブラウザ「Fellou」の日本初セミナーを2025年5月16日に開催した。本セミナーでは、AIが複数のWebページを横断して作業を自動化するFellouの機能と業務活用シーンを実演。生成AIの次に来る「エージェントAI」の実用例として注目を集めるFellouは、業務効率化に大きく貢献する可能性を秘めている。
ServiceNowが自律型AIエージェントを提供開始、セキュリティとリスク管理の効率化を実現
ServiceNowは2025年5月8日、企業のセキュリティとリスク管理を強化する自律型AIエージェントの提供開始を発表した。Microsoft、Ciscoとの連携により、脅威検知、対応、コンプライアンスの自動化を実現し、迅速かつ効率的なセキュリティ運用を可能にする。AI Control TowerやDORMソリューションも提供開始。
ServiceNowが自律型AIエージェントを提供開始、セキュリティとリスク管理の効率化を実現
ServiceNowは2025年5月8日、企業のセキュリティとリスク管理を強化する自律型AIエージェントの提供開始を発表した。Microsoft、Ciscoとの連携により、脅威検知、対応、コンプライアンスの自動化を実現し、迅速かつ効率的なセキュリティ運用を可能にする。AI Control TowerやDORMソリューションも提供開始。
テリロジー、IONIX社のEASM製品提供開始で企業のセキュリティ強化
テリロジーは2025年5月12日、IONIX社のEASM製品「IONIX External Exposure Management Platform」の提供を開始した。クラウド環境や外部サービスを含むIT資産を可視化し、攻撃者視点でのリスク管理を可能にすることで、企業のセキュリティ強化に貢献する。本製品は、脆弱性検知、リスク評価、自動保護機能などを備え、サプライチェーンリスクへの対応も可能だ。
テリロジー、IONIX社のEASM製品提供開始で企業のセキュリティ強化
テリロジーは2025年5月12日、IONIX社のEASM製品「IONIX External Exposure Management Platform」の提供を開始した。クラウド環境や外部サービスを含むIT資産を可視化し、攻撃者視点でのリスク管理を可能にすることで、企業のセキュリティ強化に貢献する。本製品は、脆弱性検知、リスク評価、自動保護機能などを備え、サプライチェーンリスクへの対応も可能だ。
Google Chrome 137、Gemini Nano LLM搭載でTechサポート詐欺対策強化
GoogleはChrome 137において、オンデバイスのGemini Nano大規模言語モデル(LLM)を用いたTechサポート詐欺対策機能を追加した。この機能は、危険なウェブサイトをリアルタイムで検知し、警告を表示する。Safe BrowsingのEnhanced Protectionモードを有効にしているユーザーが主な対象となるが、Standard Protectionユーザーも間接的に恩恵を受ける。
Google Chrome 137、Gemini Nano LLM搭載でTechサポート詐欺対策強化
GoogleはChrome 137において、オンデバイスのGemini Nano大規模言語モデル(LLM)を用いたTechサポート詐欺対策機能を追加した。この機能は、危険なウェブサイトをリアルタイムで検知し、警告を表示する。Safe BrowsingのEnhanced Protectionモードを有効にしているユーザーが主な対象となるが、Standard Protectionユーザーも間接的に恩恵を受ける。
Qualcomm Snapdragonにおける高リスク脆弱性CVE-2025-21475を公開...
Qualcommは、Snapdragon Compute、Snapdragon Industrial IOTプラットフォームの一部製品に影響する、深刻なセキュリティ脆弱性CVE-2025-21475を発表した。この脆弱性は、ディスプレイ処理におけるバッファオーバーリードであり、CVSSスコア7.8の高リスクと評価されている。AQT1000、FastConnect 6200など多数の製品が影響を受けるため、早急な対策が必要だ。
Qualcomm Snapdragonにおける高リスク脆弱性CVE-2025-21475を公開...
Qualcommは、Snapdragon Compute、Snapdragon Industrial IOTプラットフォームの一部製品に影響する、深刻なセキュリティ脆弱性CVE-2025-21475を発表した。この脆弱性は、ディスプレイ処理におけるバッファオーバーリードであり、CVSSスコア7.8の高リスクと評価されている。AQT1000、FastConnect 6200など多数の製品が影響を受けるため、早急な対策が必要だ。
Snowflake Connector for .NET 2.1.2~4.4.0のTOCTOU...
Snowflake社は、Snowflake Connector for .NETのバージョン2.1.2から4.4.0において、Time-of-check to Time-of-use (TOCTOU) race conditionの脆弱性CVE-2025-46326を発見したと発表した。この脆弱性により、ローカル攻撃者がログ設定を改ざんできる可能性があった。Snowflake社は、バージョン4.4.1をリリースし、この問題を修正した。影響を受けるユーザーは、速やかにアップデートを行う必要がある。
Snowflake Connector for .NET 2.1.2~4.4.0のTOCTOU...
Snowflake社は、Snowflake Connector for .NETのバージョン2.1.2から4.4.0において、Time-of-check to Time-of-use (TOCTOU) race conditionの脆弱性CVE-2025-46326を発見したと発表した。この脆弱性により、ローカル攻撃者がログ設定を改ざんできる可能性があった。Snowflake社は、バージョン4.4.1をリリースし、この問題を修正した。影響を受けるユーザーは、速やかにアップデートを行う必要がある。
PHPGurukul Human Metapneumovirus Testing Manage...
2025年5月6日、VulDBはPHPGurukul Human Metapneumovirus Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4303を公開した。add-phlebotomist.phpファイルのempid引数を操作することで攻撃が可能で、リモートから実行され、既に公開されているため悪用される危険性がある。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対応と対策が求められる。
PHPGurukul Human Metapneumovirus Testing Manage...
2025年5月6日、VulDBはPHPGurukul Human Metapneumovirus Testing Management System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4303を公開した。add-phlebotomist.phpファイルのempid引数を操作することで攻撃が可能で、リモートから実行され、既に公開されているため悪用される危険性がある。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対応と対策が求められる。
WordfenceがWordPress複数プラグインの任意ファイルアップロード脆弱性CVE-2...
Wordfenceは2025年5月2日、G5Theme社のBenaa、April、Beyot、Auteur Frameworkなど複数のWordPressプラグインとテーマに影響する任意ファイルアップロード脆弱性CVE-2024-13418を公開した。Subscriber以上の権限を持つ攻撃者が任意のファイルをアップロードし、リモートコード実行が可能になる危険性がある。迅速なアップデートとセキュリティ対策が求められる。
WordfenceがWordPress複数プラグインの任意ファイルアップロード脆弱性CVE-2...
Wordfenceは2025年5月2日、G5Theme社のBenaa、April、Beyot、Auteur Frameworkなど複数のWordPressプラグインとテーマに影響する任意ファイルアップロード脆弱性CVE-2024-13418を公開した。Subscriber以上の権限を持つ攻撃者が任意のファイルをアップロードし、リモートコード実行が可能になる危険性がある。迅速なアップデートとセキュリティ対策が求められる。
PHPGurukul Blood Bank & Donor Management System...
PHPGurukul Blood Bank & Donor Management System 2.4において、深刻なSQLインジェクション脆弱性CVE-2025-4176が発見された。この脆弱性により、リモートからの攻撃が可能となり、データベースへの不正アクセスやデータ改ざん、サービス運用停止といった深刻な被害が懸念される。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対策が求められる。VulDBに詳細な情報が公開されている。
PHPGurukul Blood Bank & Donor Management System...
PHPGurukul Blood Bank & Donor Management System 2.4において、深刻なSQLインジェクション脆弱性CVE-2025-4176が発見された。この脆弱性により、リモートからの攻撃が可能となり、データベースへの不正アクセスやデータ改ざん、サービス運用停止といった深刻な被害が懸念される。CVSSスコアは6.9(MEDIUM)と7.3(HIGH)と評価されており、迅速な対策が求められる。VulDBに詳細な情報が公開されている。
PHPGurukul COVID19 Testing Management System 1....
2025年4月28日、PHPGurukul COVID19 Testing Management System 1.0において、リモートから実行可能なSQLインジェクション脆弱性CVE-2025-4028がVulDBにより公開された。profile.phpファイルのmobilenumber引数を悪用した攻撃が可能で、データ漏洩や改ざんのリスクがある。CVSSスコアは6.9から7.5と高く、迅速な対策が必要だ。
PHPGurukul COVID19 Testing Management System 1....
2025年4月28日、PHPGurukul COVID19 Testing Management System 1.0において、リモートから実行可能なSQLインジェクション脆弱性CVE-2025-4028がVulDBにより公開された。profile.phpファイルのmobilenumber引数を悪用した攻撃が可能で、データ漏洩や改ざんのリスクがある。CVSSスコアは6.9から7.5と高く、迅速な対策が必要だ。
PHPGurukul Teacher Subject Allocation Managemen...
2025年5月3日、PHPGurukul Teacher Subject Allocation Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4241がVulDBにより公開された。/admin/search.phpファイルの脆弱性により、リモートからの攻撃が可能で、データ改ざんなどの被害が発生する可能性がある。ユーザーは速やかにシステムアップデートまたは適切な対策を講じる必要がある。
PHPGurukul Teacher Subject Allocation Managemen...
2025年5月3日、PHPGurukul Teacher Subject Allocation Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4241がVulDBにより公開された。/admin/search.phpファイルの脆弱性により、リモートからの攻撃が可能で、データ改ざんなどの被害が発生する可能性がある。ユーザーは速やかにシステムアップデートまたは適切な対策を講じる必要がある。
PHPGurukul Employee Record Management System 1....
2025年5月2日、VulDBはPHPGurukul Employee Record Management System 1.3における深刻なSQLインジェクション脆弱性CVE-2025-4191を公開した。editmyeducation.phpファイルのcoursepg引数を操作することで攻撃が可能で、リモートからデータベースを不正操作される危険性がある。CVSSスコアは6.9から7.5と高く、早急な対策が必要だ。
PHPGurukul Employee Record Management System 1....
2025年5月2日、VulDBはPHPGurukul Employee Record Management System 1.3における深刻なSQLインジェクション脆弱性CVE-2025-4191を公開した。editmyeducation.phpファイルのcoursepg引数を操作することで攻撃が可能で、リモートからデータベースを不正操作される危険性がある。CVSSスコアは6.9から7.5と高く、早急な対策が必要だ。
PHPGurukul Company Visitor Management System 2....
2025年5月6日、PHPGurukul Company Visitor Management System 2.0において、深刻なSQLインジェクション脆弱性CVE-2025-4332がVulDBにより公開された。visitor-detail.phpファイルのeditid引数を悪用した攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.5(HIGH)と評価されており、迅速な対策が求められる。ユーザーは最新バージョンへのアップデートを検討すべきである。
PHPGurukul Company Visitor Management System 2....
2025年5月6日、PHPGurukul Company Visitor Management System 2.0において、深刻なSQLインジェクション脆弱性CVE-2025-4332がVulDBにより公開された。visitor-detail.phpファイルのeditid引数を悪用した攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは7.5(HIGH)と評価されており、迅速な対策が求められる。ユーザーは最新バージョンへのアップデートを検討すべきである。
PHPGurukul Art Gallery Management System 1.1のSQ...
VulDBは2025年5月6日、PHPGurukul Art Gallery Management System 1.1における深刻なSQLインジェクション脆弱性CVE-2025-4309を公開した。admin/add-art-type.phpファイルのarttype引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは6.9(MEDIUM)と評価されている。迅速な対策が必要だ。
PHPGurukul Art Gallery Management System 1.1のSQ...
VulDBは2025年5月6日、PHPGurukul Art Gallery Management System 1.1における深刻なSQLインジェクション脆弱性CVE-2025-4309を公開した。admin/add-art-type.phpファイルのarttype引数を操作することで攻撃が可能で、リモートからの攻撃も可能だ。CVSSスコアは6.9(MEDIUM)と評価されている。迅速な対策が必要だ。
PHPGurukul Cyber Cafe Management System 1.0のSQL...
PHPGurukul Cyber Cafe Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4226が発見された。add-computer.phpファイルに存在するこの脆弱性は、リモートから攻撃が可能で、データベースへの不正アクセスやデータ改ざん、システム破壊につながる可能性がある。VulDBはCVSSスコアを7.3(HIGH)と評価しており、迅速な対策が求められる。
PHPGurukul Cyber Cafe Management System 1.0のSQL...
PHPGurukul Cyber Cafe Management System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4226が発見された。add-computer.phpファイルに存在するこの脆弱性は、リモートから攻撃が可能で、データベースへの不正アクセスやデータ改ざん、システム破壊につながる可能性がある。VulDBはCVSSスコアを7.3(HIGH)と評価しており、迅速な対策が求められる。
SourceCodester Phone Management System 1.0のバッファ...
SourceCodester Phone Management System 1.0において、深刻なバッファオーバーフロー脆弱性CVE-2025-3763が発見され、VulDBにより2025年4月17日に公開された。Password Handlerコンポーネントのmain関数における脆弱性で、ローカルアクセス権限を持つ攻撃者による悪用が可能となる。CVSSv3スコアは5.3、CVSSv4スコアは4.8と評価されており、迅速なパッチ適用が求められる。
SourceCodester Phone Management System 1.0のバッファ...
SourceCodester Phone Management System 1.0において、深刻なバッファオーバーフロー脆弱性CVE-2025-3763が発見され、VulDBにより2025年4月17日に公開された。Password Handlerコンポーネントのmain関数における脆弱性で、ローカルアクセス権限を持つ攻撃者による悪用が可能となる。CVSSv3スコアは5.3、CVSSv4スコアは4.8と評価されており、迅速なパッチ適用が求められる。
PHPGurukul Pre-School Enrollment System 1.0のSQL...
2025年4月28日、VulDBはPHPGurukul Pre-School Enrollment System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4031を公開した。この脆弱性は、/admin/aboutus.phpファイルのpagetitle引数の操作によって発生し、リモートから攻撃が可能だ。CVSS v4では6.9(MEDIUM)、CVSS v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対応が必要である。
PHPGurukul Pre-School Enrollment System 1.0のSQL...
2025年4月28日、VulDBはPHPGurukul Pre-School Enrollment System 1.0における深刻なSQLインジェクション脆弱性CVE-2025-4031を公開した。この脆弱性は、/admin/aboutus.phpファイルのpagetitle引数の操作によって発生し、リモートから攻撃が可能だ。CVSS v4では6.9(MEDIUM)、CVSS v3.1とv3.0では7.3(HIGH)と評価されており、迅速な対応が必要である。
PHPGurukul Online Nurse Hiring System 1.0のSQLイン...
2025年4月29日、PHPGurukul Online Nurse Hiring System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4072がVulDBにより公開された。edit-nurse.phpファイルの処理に問題があり、リモートからの攻撃が可能で、データベースの改ざんやデータ漏洩のリスクがある。CVSSスコアは5.3で、早急な対策が必要だ。
PHPGurukul Online Nurse Hiring System 1.0のSQLイン...
2025年4月29日、PHPGurukul Online Nurse Hiring System 1.0において、深刻なSQLインジェクション脆弱性CVE-2025-4072がVulDBにより公開された。edit-nurse.phpファイルの処理に問題があり、リモートからの攻撃が可能で、データベースの改ざんやデータ漏洩のリスクがある。CVSSスコアは5.3で、早急な対策が必要だ。
WordPressプラグインAeropage Sync for Airtableの脆弱性CVE...
Wordfenceは2025年4月26日、WordPressプラグインAeropage Sync for Airtableバージョン3.2.0以前における任意ファイルアップロードの脆弱性CVE-2025-3914を公開した。Subscriber以上の権限を持つ攻撃者は、この脆弱性を悪用してリモートコード実行を行う可能性がある。速やかなプラグインアップデートが推奨される。
WordPressプラグインAeropage Sync for Airtableの脆弱性CVE...
Wordfenceは2025年4月26日、WordPressプラグインAeropage Sync for Airtableバージョン3.2.0以前における任意ファイルアップロードの脆弱性CVE-2025-3914を公開した。Subscriber以上の権限を持つ攻撃者は、この脆弱性を悪用してリモートコード実行を行う可能性がある。速やかなプラグインアップデートが推奨される。
code-projects ATM Banking 1.0のビジネスロジックエラー脆弱性CVE...
2025年4月28日、VulDBはcode-projects ATM Banking 1.0におけるクリティカルな脆弱性CVE-2025-4037を公開した。moneyDeposit/moneyWithdraw関数のビジネスロジックエラーが原因で、ローカルアクセス権限を持つ攻撃者は不正な資金操作を行う可能性がある。VulDBは詳細な技術情報を公開し、迅速なパッチ適用を推奨している。
code-projects ATM Banking 1.0のビジネスロジックエラー脆弱性CVE...
2025年4月28日、VulDBはcode-projects ATM Banking 1.0におけるクリティカルな脆弱性CVE-2025-4037を公開した。moneyDeposit/moneyWithdraw関数のビジネスロジックエラーが原因で、ローカルアクセス権限を持つ攻撃者は不正な資金操作を行う可能性がある。VulDBは詳細な技術情報を公開し、迅速なパッチ適用を推奨している。
WordPressプラグインFormalityの脆弱性CVE-2025-3858が公開、迅速な...
Wordfenceは2025年5月2日、WordPressプラグインFormalityの脆弱性CVE-2025-3858を発表した。バージョン1.5.8以前で、認証済み攻撃者による保存型クロスサイトスクリプティング(XSS)が可能となる。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入でき、ユーザーのセッション乗っ取りや機密情報漏洩のリスクがある。迅速なアップデートが強く推奨される。
WordPressプラグインFormalityの脆弱性CVE-2025-3858が公開、迅速な...
Wordfenceは2025年5月2日、WordPressプラグインFormalityの脆弱性CVE-2025-3858を発表した。バージョン1.5.8以前で、認証済み攻撃者による保存型クロスサイトスクリプティング(XSS)が可能となる。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入でき、ユーザーのセッション乗っ取りや機密情報漏洩のリスクがある。迅速なアップデートが強く推奨される。
advplyr Audiobookshelf 2.21.0未満の脆弱性、XSS攻撃への対策を公開
advplyr社のAudiobookshelfバージョン2.21.0未満において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46338が発見された。`/api/upload`エンドポイントの`libraryId`フィールドへの不正な入力により、反射型XSS攻撃が可能となる。CVSSスコアは6.9(MEDIUM)で、速やかなバージョンアップが推奨される。
advplyr Audiobookshelf 2.21.0未満の脆弱性、XSS攻撃への対策を公開
advplyr社のAudiobookshelfバージョン2.21.0未満において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46338が発見された。`/api/upload`エンドポイントの`libraryId`フィールドへの不正な入力により、反射型XSS攻撃が可能となる。CVSSスコアは6.9(MEDIUM)で、速やかなバージョンアップが推奨される。
YesWikiの脆弱性CVE-2025-46549が公開、4.5.4未満のバージョンに影響
GitHubは2025年4月29日、YesWikiバージョン4.5.4未満における未認証の反射型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46549を公開した。この脆弱性により、攻撃者は悪意のあるリンクでユーザーのCookieを盗み、セッション乗っ取りやウェブサイト改ざんを行う可能性がある。YesWiki 4.5.4へのアップデートが強く推奨される。
YesWikiの脆弱性CVE-2025-46549が公開、4.5.4未満のバージョンに影響
GitHubは2025年4月29日、YesWikiバージョン4.5.4未満における未認証の反射型クロスサイトスクリプティング(XSS)脆弱性CVE-2025-46549を公開した。この脆弱性により、攻撃者は悪意のあるリンクでユーザーのCookieを盗み、セッション乗っ取りやウェブサイト改ざんを行う可能性がある。YesWiki 4.5.4へのアップデートが強く推奨される。
YesWikiの脆弱性CVE-2025-46350が公開、4.5.4未満のバージョンに影響
GitHubは2025年4月29日、PHP製WikiシステムYesWikiの脆弱性CVE-2025-46350を公開した。4.5.4未満のバージョンで認証済み反射型クロスサイトスクリプティング(XSS)が可能となり、Cookie窃取やセッション乗っ取り、ウェブサイト改ざんのリスクがある。速やかなバージョンアップが推奨される。
YesWikiの脆弱性CVE-2025-46350が公開、4.5.4未満のバージョンに影響
GitHubは2025年4月29日、PHP製WikiシステムYesWikiの脆弱性CVE-2025-46350を公開した。4.5.4未満のバージョンで認証済み反射型クロスサイトスクリプティング(XSS)が可能となり、Cookie窃取やセッション乗っ取り、ウェブサイト改ざんのリスクがある。速やかなバージョンアップが推奨される。
WordPressプラグインCustom Login And Registrationの脆弱性...
WordPressプラグインAlphaEfficiencyTeam Custom Login and Registrationバージョン1.0.0以前において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-39363が発見された。攻撃者は悪意のあるスクリプトを埋め込み、ユーザーの情報を盗む可能性があるため、速やかなアップデートが必要だ。Patchstack OÜが2025年5月5日に公開した。
WordPressプラグインCustom Login And Registrationの脆弱性...
WordPressプラグインAlphaEfficiencyTeam Custom Login and Registrationバージョン1.0.0以前において、クロスサイトスクリプティング(XSS)脆弱性CVE-2025-39363が発見された。攻撃者は悪意のあるスクリプトを埋め込み、ユーザーの情報を盗む可能性があるため、速やかなアップデートが必要だ。Patchstack OÜが2025年5月5日に公開した。
WordPressテーマHomeyの脆弱性CVE-2025-1326、2.4.4以前のバージョ...
Wordfenceは2025年5月2日、WordPressテーマHomeyの脆弱性CVE-2025-1326を公開した。バージョン2.4.4以前では、認証済み攻撃者が任意の予約や投稿を削除できる。権限チェックの欠如が原因で、ウェブサイトのデータ改ざんにつながる重大なセキュリティリスクだ。最新バージョンへのアップデートが強く推奨される。
WordPressテーマHomeyの脆弱性CVE-2025-1326、2.4.4以前のバージョ...
Wordfenceは2025年5月2日、WordPressテーマHomeyの脆弱性CVE-2025-1326を公開した。バージョン2.4.4以前では、認証済み攻撃者が任意の予約や投稿を削除できる。権限チェックの欠如が原因で、ウェブサイトのデータ改ざんにつながる重大なセキュリティリスクだ。最新バージョンへのアップデートが強く推奨される。
YesWiki 4.5.4未満のバージョンで認証不要のリフレクト型XSS脆弱性が発見され、修正...
GitHubは2025年4月29日、YesWiki 4.5.4未満のバージョンにおいて、認証不要のリフレクト型クロスサイトスクリプティング(XSS)脆弱性(CVE-2025-46349)を発見したと発表した。この脆弱性により、攻撃者は悪意のあるリンクを作成し、被害者に任意の操作を実行させることが可能になる。YesWiki開発チームは、この脆弱性を修正したバージョン4.5.4をリリースしている。ユーザーは速やかにアップデートを行うべきだ。
YesWiki 4.5.4未満のバージョンで認証不要のリフレクト型XSS脆弱性が発見され、修正...
GitHubは2025年4月29日、YesWiki 4.5.4未満のバージョンにおいて、認証不要のリフレクト型クロスサイトスクリプティング(XSS)脆弱性(CVE-2025-46349)を発見したと発表した。この脆弱性により、攻撃者は悪意のあるリンクを作成し、被害者に任意の操作を実行させることが可能になる。YesWiki開発チームは、この脆弱性を修正したバージョン4.5.4をリリースしている。ユーザーは速やかにアップデートを行うべきだ。
WordPressプラグインAdvanced Linked Variations for Wo...
WordPressプラグインAdvanced Linked Variations for Woocommerceのバージョン1.0.3以前において、アクセス制御の欠陥による脆弱性CVE-2025-46244が発見された。不正アクセスを許す可能性があり、2025年4月22日にPatchstack OÜより公開された。1.0.4以降のバージョンでは修正済みであるため、速やかなアップデートが推奨される。CVSSスコアは5.3(MEDIUM)だ。
WordPressプラグインAdvanced Linked Variations for Wo...
WordPressプラグインAdvanced Linked Variations for Woocommerceのバージョン1.0.3以前において、アクセス制御の欠陥による脆弱性CVE-2025-46244が発見された。不正アクセスを許す可能性があり、2025年4月22日にPatchstack OÜより公開された。1.0.4以降のバージョンでは修正済みであるため、速やかなアップデートが推奨される。CVSSスコアは5.3(MEDIUM)だ。
WordPress Simple Calendar for Elementor 1.6.4以前...
Patchstack OÜは2025年4月22日、WordPress Simple Calendar for Elementorプラグインのバージョン1.6.4以前におけるCSRF脆弱性CVE-2025-46249を公開した。この脆弱性により、悪意のあるウェブサイトからユーザーに気付かれずにリクエストを送信させる攻撃を受ける可能性がある。1.6.5以降のバージョンでは修正されているため、速やかなアップデートが推奨される。詳細な情報はPatchstackのデータベースを参照のこと。
WordPress Simple Calendar for Elementor 1.6.4以前...
Patchstack OÜは2025年4月22日、WordPress Simple Calendar for Elementorプラグインのバージョン1.6.4以前におけるCSRF脆弱性CVE-2025-46249を公開した。この脆弱性により、悪意のあるウェブサイトからユーザーに気付かれずにリクエストを送信させる攻撃を受ける可能性がある。1.6.5以降のバージョンでは修正されているため、速やかなアップデートが推奨される。詳細な情報はPatchstackのデータベースを参照のこと。