Tech Insights

【CVE-2024-13322】WordPress用Ads Pro Pluginにデータベース情報漏洩の危険性、バージョン4.88まで影響

【CVE-2024-13322】WordPress用Ads Pro Pluginにデータベース...

WordPressプラグイン「Ads Pro Plugin」にSQLインジェクションの脆弱性が発見された。バージョン4.88までの全バージョンが影響を受け、非認証ユーザーでも攻撃可能。CVSSスコアは7.5(High)で、データベースから機密情報を抽出される危険性がある。a_idパラメータの不十分なエスケープ処理とSQLクエリの準備不足が原因となっている。

【CVE-2024-13322】WordPress用Ads Pro Pluginにデータベース...

WordPressプラグイン「Ads Pro Plugin」にSQLインジェクションの脆弱性が発見された。バージョン4.88までの全バージョンが影響を受け、非認証ユーザーでも攻撃可能。CVSSスコアは7.5(High)で、データベースから機密情報を抽出される危険性がある。a_idパラメータの不十分なエスケープ処理とSQLクエリの準備不足が原因となっている。

【CVE-2025-1305】WordPressテーマNewsBloggerに深刻な脆弱性、任意のコード実行が可能に

【CVE-2025-1305】WordPressテーマNewsBloggerに深刻な脆弱性、任...

WordfenceがWordPress用テーマNewsBloggerのバージョン0.2.5.4以前に存在する深刻な脆弱性を公開した。CVSS Score 8.8のHigh評価で、クロスサイトリクエストフォージェリにより管理者権限での任意のコード実行が可能となっている。Gibran Abdillahによって発見されたこの脆弱性は、早急な対応が求められている。

【CVE-2025-1305】WordPressテーマNewsBloggerに深刻な脆弱性、任...

WordfenceがWordPress用テーマNewsBloggerのバージョン0.2.5.4以前に存在する深刻な脆弱性を公開した。CVSS Score 8.8のHigh評価で、クロスサイトリクエストフォージェリにより管理者権限での任意のコード実行が可能となっている。Gibran Abdillahによって発見されたこの脆弱性は、早急な対応が求められている。

【CVE-2024-13344】WooCommerceの座席予約プラグインにSQLインジェクションの脆弱性、認証なしで情報漏洩の危険性

【CVE-2024-13344】WooCommerceの座席予約プラグインにSQLインジェクシ...

WordPressプラグインAdvance Seat Reservation Management For WooCommerceにSQLインジェクションの脆弱性が発見された。バージョン3.3以下のすべてのバージョンで影響を受け、認証なしでデータベースの機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価され、早急な対応が必要となっている。

【CVE-2024-13344】WooCommerceの座席予約プラグインにSQLインジェクシ...

WordPressプラグインAdvance Seat Reservation Management For WooCommerceにSQLインジェクションの脆弱性が発見された。バージョン3.3以下のすべてのバージョンで影響を受け、認証なしでデータベースの機密情報が抽出される可能性がある。CVSSスコアは7.5(High)と評価され、早急な対応が必要となっている。

【CVE-2025-0427】ArmのGPUカーネルドライバーに深刻な脆弱性、複数世代のドライバーがUse After Free問題の影響を受ける

【CVE-2025-0427】ArmのGPUカーネルドライバーに深刻な脆弱性、複数世代のドライ...

Arm社のBifrost GPU、Valhall GPU、Arm 5th Gen GPUの各カーネルドライバーにUse After Free脆弱性が発見された。この脆弱性により、非特権ユーザープロセスが解放済みメモリにアクセス可能となる。影響を受けるバージョンはBifrostがr8p0-r51p0、Valhallがr19p0-r53p0、5th Gen GPUがr41p0-r53p0。修正版が既にリリースされており、早急なアップデートが推奨される。

【CVE-2025-0427】ArmのGPUカーネルドライバーに深刻な脆弱性、複数世代のドライ...

Arm社のBifrost GPU、Valhall GPU、Arm 5th Gen GPUの各カーネルドライバーにUse After Free脆弱性が発見された。この脆弱性により、非特権ユーザープロセスが解放済みメモリにアクセス可能となる。影響を受けるバージョンはBifrostがr8p0-r51p0、Valhallがr19p0-r53p0、5th Gen GPUがr41p0-r53p0。修正版が既にリリースされており、早急なアップデートが推奨される。

【CVE-2025-46227】WordPress用プラグインCustom Related Postsにクロスサイトスクリプティングの脆弱性、バージョン1.7.5で修正完了

【CVE-2025-46227】WordPress用プラグインCustom Related P...

Patchstack OÜはWordPressプラグイン「Custom Related Posts」のバージョン1.7.4以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.5(MEDIUM)と評価されたこの脆弱性は、入力値の不適切な無害化に起因する格納型XSSの問題であり、バージョン1.7.5で修正された。CISAの評価では自動化可能な攻撃は確認されていない。

【CVE-2025-46227】WordPress用プラグインCustom Related P...

Patchstack OÜはWordPressプラグイン「Custom Related Posts」のバージョン1.7.4以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.5(MEDIUM)と評価されたこの脆弱性は、入力値の不適切な無害化に起因する格納型XSSの問題であり、バージョン1.7.5で修正された。CISAの評価では自動化可能な攻撃は確認されていない。

【CVE-2025-4043】Milesight UG65-868M-EAに重大な脆弱性、管理者権限での不正アクセスが可能に

【CVE-2025-4043】Milesight UG65-868M-EAに重大な脆弱性、管理...

CISAは2025年5月7日、Milesight UG65-868M-EAにおいて管理者権限を持つユーザーがシステム起動時に実行される/etc/rc.localファイルに不正アクセス可能な脆弱性を公表した。CVSSスコアは3.1で6.8、4.0で6.1とミディアムレベルに分類され、影響を受けるバージョンは60.0.0.46未満の全てのバージョンとされている。

【CVE-2025-4043】Milesight UG65-868M-EAに重大な脆弱性、管理...

CISAは2025年5月7日、Milesight UG65-868M-EAにおいて管理者権限を持つユーザーがシステム起動時に実行される/etc/rc.localファイルに不正アクセス可能な脆弱性を公表した。CVSSスコアは3.1で6.8、4.0で6.1とミディアムレベルに分類され、影響を受けるバージョンは60.0.0.46未満の全てのバージョンとされている。

【CVE-2025-46226】WordPressプラグインMPL-Publisher 2.18.0にXSS脆弱性、アップデートで対応必要に

【CVE-2025-46226】WordPressプラグインMPL-Publisher 2.1...

Patchstack OÜがWordPressプラグイン「MPL-Publisher」のバージョン2.18.0以前に存在するクロスサイトスクリプティング脆弱性を公開した。CVSSスコア6.5の中程度の危険性を持つこの脆弱性は、Webページ生成時の入力値処理の不備により、攻撃者による不正なスクリプトの実行を許可してしまう可能性がある。対策としてバージョン2.18.1へのアップデートが推奨される。

【CVE-2025-46226】WordPressプラグインMPL-Publisher 2.1...

Patchstack OÜがWordPressプラグイン「MPL-Publisher」のバージョン2.18.0以前に存在するクロスサイトスクリプティング脆弱性を公開した。CVSSスコア6.5の中程度の危険性を持つこの脆弱性は、Webページ生成時の入力値処理の不備により、攻撃者による不正なスクリプトの実行を許可してしまう可能性がある。対策としてバージョン2.18.1へのアップデートが推奨される。

【CVE-2025-0072】ArmのGPUカーネルドライバーに深刻な脆弱性、特権なしで解放済みメモリにアクセス可能に

【CVE-2025-0072】ArmのGPUカーネルドライバーに深刻な脆弱性、特権なしで解放済...

Arm社のValhall GPUとArm 5th Gen GPUのカーネルドライバーにUse After Free脆弱性が発見された。この脆弱性により特権のないローカルユーザープロセスが解放済みメモリにアクセス可能となる。影響を受けるバージョンはValhall GPUがr29p0からr53p0まで、Arm 5th Gen GPUがr41p0からr53p0までとなっており、既にr49p4とr54p0以降で修正が実施されている。

【CVE-2025-0072】ArmのGPUカーネルドライバーに深刻な脆弱性、特権なしで解放済...

Arm社のValhall GPUとArm 5th Gen GPUのカーネルドライバーにUse After Free脆弱性が発見された。この脆弱性により特権のないローカルユーザープロセスが解放済みメモリにアクセス可能となる。影響を受けるバージョンはValhall GPUがr29p0からr53p0まで、Arm 5th Gen GPUがr41p0からr53p0までとなっており、既にr49p4とr54p0以降で修正が実施されている。

【CVE-2025-4179】WordPress用プラグインFlynax Bridgeに特権昇格の脆弱性、未認証ユーザーによる新規アカウント作成が可能に

【CVE-2025-4179】WordPress用プラグインFlynax Bridgeに特権昇...

WordfenceはWordPress用プラグインFlynax Bridgeのバージョン2.2.0以前に特権昇格の脆弱性が存在することを公開した。registerUser()関数における権限チェックの欠如により、未認証の攻撃者が新規ユーザーアカウントを作成可能となっている。CVSSスコア7.3のHigh評価であり、早急な対応が推奨される。

【CVE-2025-4179】WordPress用プラグインFlynax Bridgeに特権昇...

WordfenceはWordPress用プラグインFlynax Bridgeのバージョン2.2.0以前に特権昇格の脆弱性が存在することを公開した。registerUser()関数における権限チェックの欠如により、未認証の攻撃者が新規ユーザーアカウントを作成可能となっている。CVSSスコア7.3のHigh評価であり、早急な対応が推奨される。

【CVE-2025-4177】Flynax Bridge 2.2.0にユーザー削除の脆弱性、認証なしで任意のユーザーを削除可能に

【CVE-2025-4177】Flynax Bridge 2.2.0にユーザー削除の脆弱性、認...

WordPressプラグインのFlynax Bridgeにおいて、バージョン2.2.0以前に認証されていないユーザーによる任意のユーザー削除が可能となる脆弱性が発見された。deleteUser()関数における権限チェックの欠如により、CVSSスコア5.3のミディアムリスクと評価される脆弱性が確認されている。この脆弱性は【CVE-2025-4177】として識別され、WordPressサイトのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-4177】Flynax Bridge 2.2.0にユーザー削除の脆弱性、認...

WordPressプラグインのFlynax Bridgeにおいて、バージョン2.2.0以前に認証されていないユーザーによる任意のユーザー削除が可能となる脆弱性が発見された。deleteUser()関数における権限チェックの欠如により、CVSSスコア5.3のミディアムリスクと評価される脆弱性が確認されている。この脆弱性は【CVE-2025-4177】として識別され、WordPressサイトのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2025-1301】Yordam Informaticsの図書館自動化システムにXSS脆弱性、早急な対応が必要に

【CVE-2025-1301】Yordam Informaticsの図書館自動化システムにXS...

トルコのTR-CERTが、Yordam Informaticsの図書館自動化システムにおいてリフレクテッドXSS脆弱性を発見した。CVE-2025-1301として識別されるこの脆弱性は、バージョン21.6より前のすべてのバージョンに影響を及ぼし、CVSSスコア7.4のHigh評価を受けている。ネットワーク経由でのアクセスが可能で、攻撃の複雑さは低いとされているが、実行にはユーザーの操作が必要となる。

【CVE-2025-1301】Yordam Informaticsの図書館自動化システムにXS...

トルコのTR-CERTが、Yordam Informaticsの図書館自動化システムにおいてリフレクテッドXSS脆弱性を発見した。CVE-2025-1301として識別されるこの脆弱性は、バージョン21.6より前のすべてのバージョンに影響を及ぼし、CVSSスコア7.4のHigh評価を受けている。ネットワーク経由でのアクセスが可能で、攻撃の複雑さは低いとされているが、実行にはユーザーの操作が必要となる。

【CVE-2024-2594】WordPressプラグインUser Registration & Membershipに認証バイパスの脆弱性、管理者権限の不正取得が可能に

【CVE-2024-2594】WordPressプラグインUser Registration ...

WordPressプラグインUser Registration & Membershipのバージョン4.1.3未満に深刻な認証バイパスの脆弱性が発見された。Membership Addonが有効な環境で、攻撃者が任意のユーザーIDを使用して管理者権限を含む不正アクセスが可能となる。CVSS v3.1で8.1(High)と評価される重大な脆弱性であり、早急なアップデートが推奨される。

【CVE-2024-2594】WordPressプラグインUser Registration ...

WordPressプラグインUser Registration & Membershipのバージョン4.1.3未満に深刻な認証バイパスの脆弱性が発見された。Membership Addonが有効な環境で、攻撃者が任意のユーザーIDを使用して管理者権限を含む不正アクセスが可能となる。CVSS v3.1で8.1(High)と評価される重大な脆弱性であり、早急なアップデートが推奨される。

【CVE-2025-3708】Le-showの医療管理システムに重大な脆弱性、データベースの改ざんが可能に

【CVE-2025-3708】Le-showの医療管理システムに重大な脆弱性、データベースの改...

Le-yan社の医療管理システムLe-showにSQLインジェクションの脆弱性が発見された。認証なしで任意のSQLコマンドを実行可能で、データベースの読み取り、改変、削除が可能となっている。CVSSスコアは9.8と最も深刻なレベルで、影響を受けるバージョンは0から3.2.25まで。TWCERTが詳細情報を公開し、早急な対応が求められている。

【CVE-2025-3708】Le-showの医療管理システムに重大な脆弱性、データベースの改...

Le-yan社の医療管理システムLe-showにSQLインジェクションの脆弱性が発見された。認証なしで任意のSQLコマンドを実行可能で、データベースの読み取り、改変、削除が可能となっている。CVSSスコアは9.8と最も深刻なレベルで、影響を受けるバージョンは0から3.2.25まで。TWCERTが詳細情報を公開し、早急な対応が求められている。

【CVE-2025-1273】Autodesk Revitに重大な脆弱性、PDFファイル処理で深刻な問題が発覚しセキュリティリスクが増大

【CVE-2025-1273】Autodesk Revitに重大な脆弱性、PDFファイル処理で...

Autodeskは2025年4月15日、建築設計ソフトウェアRevitにおいて重大な脆弱性【CVE-2025-1273】を発見した。この脆弱性は悪意のあるPDFファイルによってヒープベースオーバーフローを引き起こし、システムクラッシュや任意のコード実行を可能にする。影響を受けるバージョンは2023から2025の特定バージョンで、CVSSスコア7.8のハイリスクと評価されている。

【CVE-2025-1273】Autodesk Revitに重大な脆弱性、PDFファイル処理で...

Autodeskは2025年4月15日、建築設計ソフトウェアRevitにおいて重大な脆弱性【CVE-2025-1273】を発見した。この脆弱性は悪意のあるPDFファイルによってヒープベースオーバーフローを引き起こし、システムクラッシュや任意のコード実行を可能にする。影響を受けるバージョンは2023から2025の特定バージョンで、CVSSスコア7.8のハイリスクと評価されている。

【CVE-2025-1656】AutodeskのRevitに深刻な脆弱性、PDFファイル処理時のバッファオーバーフローで情報漏洩のリスクに

【CVE-2025-1656】AutodeskのRevitに深刻な脆弱性、PDFファイル処理時...

Autodeskは2025年4月15日、同社のRevitアプリケーションにおいて重大な脆弱性【CVE-2025-1656】を発見したことを公開した。この脆弱性は悪意のあるPDFファイルの処理時に発生するヒープベースバッファオーバーフローの問題で、システムクラッシュや機密データの漏洩、任意のコード実行などのリスクがある。影響を受けるバージョンはRevit 2023-2025の特定バージョンで、早急なアップデートが推奨されている。

【CVE-2025-1656】AutodeskのRevitに深刻な脆弱性、PDFファイル処理時...

Autodeskは2025年4月15日、同社のRevitアプリケーションにおいて重大な脆弱性【CVE-2025-1656】を発見したことを公開した。この脆弱性は悪意のあるPDFファイルの処理時に発生するヒープベースバッファオーバーフローの問題で、システムクラッシュや機密データの漏洩、任意のコード実行などのリスクがある。影響を受けるバージョンはRevit 2023-2025の特定バージョンで、早急なアップデートが推奨されている。

【CVE-2025-3583】WordPress用プラグインNewsletterに深刻な脆弱性、管理者権限でのXSS攻撃が可能に

【CVE-2025-3583】WordPress用プラグインNewsletterに深刻な脆弱性...

WPScanが2025年5月5日、WordPress用プラグインNewsletterの8.7.1未満のバージョンにおいて、管理者権限を持つユーザーがストアド型XSS攻撃を実行できる脆弱性を公開した。マルチサイト環境でunfiltered_html機能が無効化されていても攻撃が可能となっており、特に複数の管理者が存在する環境での悪用が懸念される。Dmitrii Ignatyevによって発見されたこの脆弱性は、CVE-2025-3583として識別され、早急な対応が推奨されている。

【CVE-2025-3583】WordPress用プラグインNewsletterに深刻な脆弱性...

WPScanが2025年5月5日、WordPress用プラグインNewsletterの8.7.1未満のバージョンにおいて、管理者権限を持つユーザーがストアド型XSS攻撃を実行できる脆弱性を公開した。マルチサイト環境でunfiltered_html機能が無効化されていても攻撃が可能となっており、特に複数の管理者が存在する環境での悪用が懸念される。Dmitrii Ignatyevによって発見されたこの脆弱性は、CVE-2025-3583として識別され、早急な対応が推奨されている。

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS脆弱性、管理者権限で攻撃可能に

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...

WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。

【CVE-2025-3503】WordPress用プラグインWP Mapsに深刻な保存型XSS...

WPScanが2025年5月1日、WordPress用プラグイン「WP Maps」のバージョン4.7.2未満に保存型XSS脆弱性が存在することを公開した。マップ設定機能の一部でサニタイズとエスケープ処理が不適切であり、管理者権限を持つユーザーによって悪用される可能性がある。特にマルチサイト環境でunfiltered_html機能が無効化されている場合でも攻撃が実行可能だ。

【CVE-2024-13569】Front End Users 3.2.32に反射型XSS脆弱性、管理者権限への攻撃に注意

【CVE-2024-13569】Front End Users 3.2.32に反射型XSS脆弱...

WordPressプラグインのFront End Usersにおいて、バージョン3.2.32以前に反射型XSSの脆弱性が発見された。CVSSスコア7.1のHigh評価で、特に管理者権限を持つユーザーへの影響が懸念される。この脆弱性は適切なサニタイズ処理の欠如に起因しており、早急な対応が推奨される。Hassan Khan Yusufzai氏による発見で、WPScanがコーディネーターを務めている。

【CVE-2024-13569】Front End Users 3.2.32に反射型XSS脆弱...

WordPressプラグインのFront End Usersにおいて、バージョン3.2.32以前に反射型XSSの脆弱性が発見された。CVSSスコア7.1のHigh評価で、特に管理者権限を持つユーザーへの影響が懸念される。この脆弱性は適切なサニタイズ処理の欠如に起因しており、早急な対応が推奨される。Hassan Khan Yusufzai氏による発見で、WPScanがコーディネーターを務めている。

【CVE-2025-3709】Flowring Technology Agentflowにアカウントロックアウトバイパスの脆弱性、未認証での攻撃が可能に

【CVE-2025-3709】Flowring Technology Agentflowにアカ...

TWCERT/CCが2025年5月2日、Flowring Technology社のAgentflow 4.0にアカウントロックアウトバイパスの脆弱性が存在することを公開した。未認証のリモート攻撃者によるパスワード総当たり攻撃が可能となり、CVSSv3.1で最高深刻度のCriticalスコア9.8を記録。機密性・完全性・可用性のすべてで高い影響度を示している。

【CVE-2025-3709】Flowring Technology Agentflowにアカ...

TWCERT/CCが2025年5月2日、Flowring Technology社のAgentflow 4.0にアカウントロックアウトバイパスの脆弱性が存在することを公開した。未認証のリモート攻撃者によるパスワード総当たり攻撃が可能となり、CVSSv3.1で最高深刻度のCriticalスコア9.8を記録。機密性・完全性・可用性のすべてで高い影響度を示している。

KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operation SyncHoleと命名し対策を実施

KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operati...

KasperskyのGReATは、サイバー攻撃グループLazarusによる新たな攻撃活動「Operation SyncHole」を発見した。韓国のソフトウェア、IT、金融など6組織を標的とした本攻撃では、水飲み場型攻撃とInnorix Agentの脆弱性を組み合わせた高度な手法が用いられ、発見された脆弱性にはKVE-2025-0014が割り当てられた。迅速なパッチ適用により攻撃リスクは軽減されている。

KasperskyがLazarusグループによる韓国企業へのサイバー攻撃を発見、Operati...

KasperskyのGReATは、サイバー攻撃グループLazarusによる新たな攻撃活動「Operation SyncHole」を発見した。韓国のソフトウェア、IT、金融など6組織を標的とした本攻撃では、水飲み場型攻撃とInnorix Agentの脆弱性を組み合わせた高度な手法が用いられ、発見された脆弱性にはKVE-2025-0014が割り当てられた。迅速なパッチ適用により攻撃リスクは軽減されている。

SecureNaviがAIによるセキュリティチェックシート自動回答サービスSecureLightを発表、業務効率化に貢献

SecureNaviがAIによるセキュリティチェックシート自動回答サービスSecureLigh...

SecureNavi株式会社は、AIを活用してセキュリティチェックシートへの回答を自動化する新サービス「SecureLight」の先行受付を2025年5月8日に開始した。過去の回答記録や社内規程をAIが学習し高精度な回答案を自動生成する機能を搭載。データの一元管理やバージョン管理機能も実装し、2025年7月1日からの提供開始を予定している。

SecureNaviがAIによるセキュリティチェックシート自動回答サービスSecureLigh...

SecureNavi株式会社は、AIを活用してセキュリティチェックシートへの回答を自動化する新サービス「SecureLight」の先行受付を2025年5月8日に開始した。過去の回答記録や社内規程をAIが学習し高精度な回答案を自動生成する機能を搭載。データの一元管理やバージョン管理機能も実装し、2025年7月1日からの提供開始を予定している。

セキュアスカイ・テクノロジーが学生向け夏季インターンシップを開催、External Attack Surface研究調査で次世代セキュリティ人材を育成

セキュアスカイ・テクノロジーが学生向け夏季インターンシップを開催、External Attac...

セキュアスカイ・テクノロジーは2025年8月25日から10日間、学生向け夏季インターンシップを開催する。External Attack Surface Managementに関する研究調査を通じて次世代のセキュリティ人材を育成することが目的だ。オンラインとオフラインのハイブリッド形式で実施され、最終日は東京または福岡での現地開催となる。セキュリティに興味を持つ学生10名程度を募集している。

セキュアスカイ・テクノロジーが学生向け夏季インターンシップを開催、External Attac...

セキュアスカイ・テクノロジーは2025年8月25日から10日間、学生向け夏季インターンシップを開催する。External Attack Surface Managementに関する研究調査を通じて次世代のセキュリティ人材を育成することが目的だ。オンラインとオフラインのハイブリッド形式で実施され、最終日は東京または福岡での現地開催となる。セキュリティに興味を持つ学生10名程度を募集している。

Librusが生成AIセキュリティ診断サービスを提供開始、プロンプトインジェクションなどの新たな脅威に対応

Librusが生成AIセキュリティ診断サービスを提供開始、プロンプトインジェクションなどの新た...

Librus株式会社は2025年5月7日、生成AIを活用したシステムのセキュリティリスクを可視化・分析する生成AIセキュリティ診断サービスの提供を開始した。プロンプトインジェクションやプロンプトリーク、ハルシネーションなどの新たなリスクに対応し、LangChainなどのミドルウェアやシステムプロンプト、APIキーなど多層的な構造に対して総合的なリスク評価を提供する。

Librusが生成AIセキュリティ診断サービスを提供開始、プロンプトインジェクションなどの新た...

Librus株式会社は2025年5月7日、生成AIを活用したシステムのセキュリティリスクを可視化・分析する生成AIセキュリティ診断サービスの提供を開始した。プロンプトインジェクションやプロンプトリーク、ハルシネーションなどの新たなリスクに対応し、LangChainなどのミドルウェアやシステムプロンプト、APIキーなど多層的な構造に対して総合的なリスク評価を提供する。

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の自動化が進化

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の...

パロアルトネットワークスは2025年4月28日、AI駆動型セキュリティ運用プラットフォーム「Cortex XSIAM 3.0」を発表した。新機能のExposure ManagementとAdvanced Email Securityにより、AIを活用した脆弱性管理の自動化とメール脅威への対応を強化。LLMによる分析機能で高度化する攻撃への防御力を向上させている。

パロアルトネットワークスがCortex XSIAM 3.0を発表、AIによるセキュリティ運用の...

パロアルトネットワークスは2025年4月28日、AI駆動型セキュリティ運用プラットフォーム「Cortex XSIAM 3.0」を発表した。新機能のExposure ManagementとAdvanced Email Securityにより、AIを活用した脆弱性管理の自動化とメール脅威への対応を強化。LLMによる分析機能で高度化する攻撃への防御力を向上させている。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

メルカリのパスキー登録者数が1,000万人を突破、フィッシング対策強化で安全な取引環境を実現へ

メルカリは2025年5月、パスワード不要の認証方式「パスキー」の登録者数が1,000万人を突破したことを発表した。2023年4月のメルコインでの導入開始から段階的に展開を進め、2024年9月からは登録済みユーザーへの必須化を実施。フィッシング詐欺による不正アクセスが急増する中、安心・安全な利用環境の構築に向けた取り組みの一環として推進している。

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。

PR TIMESが90万件超の情報漏えいの可能性を発表、コロナ禍のIPアドレス認証緩和が侵入経路に

PR TIMES社は2025年5月7日、プレスリリース配信サービス「PR TIMES」において90万件超の情報漏えいの可能性を発表した。4月24日から25日にかけての不正アクセスにより、企業・メディア・個人ユーザーの情報が漏えいした可能性がある。コロナ禍でのリモートワーク対応時に緩和したIPアドレス認証が侵入経路となり、共有アカウントと組み合わせて攻撃が行われた。

【CVE-2025-3874】WordPress Simple PayPal Shopping Cart 5.1.3に深刻な脆弱性、認証バイパスの危険性が明らかに

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-3874】WordPress Simple PayPal Shopping...

WordfenceがWordPress Simple PayPal Shopping Cart 5.1.3以前のバージョンに、Insecure Direct Object Referenceの脆弱性が存在することを公開した。認証なしで顧客のショッピングカートへのアクセスや商品の追加・削除が可能となる深刻な問題で、CVSSスコアは6.5(MEDIUM)を記録。ユーザー制御キーのランダム化不足が原因とされ、早急な対応が求められている。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPHP Object Injection脆弱性、未認証での攻撃が可能に

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-2105】Jupiter X Core WordPressプラグインにPH...

WordPressプラグインJupiter X Coreの4.8.11以前のバージョンにPHP Object Injection脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者がPHARファイルを介して任意のコードを実行可能。ファイルダウンロードフォームとアップロード機能が存在する環境で、追加プラグインやテーマにPOPチェーンが存在する場合、重大な影響を及ぼす可能性がある。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグインと連携時に影響

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2025-3438】MStore APIプラグインに特権昇格の脆弱性、WCFMプラグ...

WordPressプラグイン「MStore API」のversion 4.17.4以前で特権昇格の脆弱性が発見された。認証なしでWCFM Marketplaceプラグインのストアベンダー権限を取得可能な状態となっており、CVSSスコアは6.5(MEDIUM)と評価されている。2025年5月2日に公開されたこの脆弱性は、ECサイトのセキュリティを脅かす重大な問題として認識されている。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証不備の脆弱性、複数バージョンでリスク発生

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。

【CVE-2024-13420】G5Theme製Smart Frameworkプラグインに認証...

WordFenceは2025年5月2日、G5Theme社が開発するWordPress用Smart Frameworkの複数プラグインにおいて認証不備の脆弱性を発見したことを公開した。Benaa Framework、April Framework、Beyot Framework、Auteur Frameworkの特定バージョンが影響を受け、認証済みユーザーによる不正な設定変更が可能な状態となっている。Envatoへの報告から2ヶ月以上が経過しているにもかかわらず、完全な修正には至っていない。