Tech Insights

【CVE-2025-2383】PHPGurukul Doctor Appointment Management Systemにおける重大なSQL注入の脆弱性が発見、医療データの漏洩リスクに警鐘

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-2383】PHPGurukul Doctor Appointment Ma...

PHPGurukul Doctor Appointment Management System 1.0において、search.phpファイルのsearchdataパラメータを介したSQL注入の脆弱性が発見された。CVE-2025-2383として登録されたこの脆弱性は、CVSSスコア7.3(High)と評価され、特別な権限なしでリモートから攻撃が可能である。既に一般公開されており、医療機関の患者データが危険にさらされる可能性があるため、早急な対策が求められている。

【CVE-2025-29425】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29425】Online Class and Exam Schedulin...

MITREがOnline Class and Exam Scheduling System 1.0におけるSQLインジェクションの脆弱性(CVE-2025-29425)を公開。exam_save.phpのmemberとfirstパラメータに存在し、CVSSスコア5.5(Medium)と評価される。CISAの調査で自動化された攻撃が可能であることが判明し、教育機関のデータセキュリティに深刻な影響を及ぼす可能性が指摘されている。

【CVE-2025-29430】Online Class and Exam Scheduling Systemに深刻な脆弱性、教育現場のセキュリティに警鐘

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-29430】Online Class and Exam Schedulin...

MITREが教育機関向けシステム「Online Class and Exam Scheduling System V1.0」においてクロスサイトスクリプティング(XSS)の脆弱性を確認。CVE-2025-29430として識別され、CISAの評価では自動化可能な攻撃手法の存在が指摘されている。CVSSスコア4.1のMEDIUMレベルと評価され、早急な対応が求められている。

【CVE-2025-2386】PHPGurukul Local Services Search Engine Management Systemに深刻な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-2386】PHPGurukul Local Services Search...

PHPGurukul Local Services Search Engine Management System 1.0のserviceman-search.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、リモートからの攻撃が可能。認証不要で攻撃可能なため、早急な対応が必要とされている。既に公開されており、攻撃に悪用される可能性も指摘されている。

【CVE-2025-29429】教育機関向けOnline Class and Exam Scheduling System V1.0にXSS脆弱性、早急な対応が必要に

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29429】教育機関向けOnline Class and Exam Sch...

MITREは2025年3月17日、教育機関向けのOnline Class and Exam Scheduling System V1.0において、/pages/program.phpのid、code、nameパラメータに存在するクロスサイトスクリプティング(XSS)脆弱性を公開した。CVSSスコア6.1のMedium評価で、自動化された攻撃が可能とされている。教育現場のセキュリティ対策として早急な対応が推奨される。

【CVE-2025-29214】Tenda AX12にスタックオーバーフロー脆弱性、認証不要でリモート攻撃の可能性

【CVE-2025-29214】Tenda AX12にスタックオーバーフロー脆弱性、認証不要で...

MITREが2025年3月20日、Tenda AX12 v22.03.01.46_CNのsetMacFilterCfg機能にスタックオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.5の高リスク脆弱性として評価され、認証なしでネットワーク経由での攻撃が可能である。CWE-121に分類されるこの脆弱性は、システムの可用性に重大な影響を与える可能性があり、早急な対応が必要とされている。

【CVE-2025-29214】Tenda AX12にスタックオーバーフロー脆弱性、認証不要で...

MITREが2025年3月20日、Tenda AX12 v22.03.01.46_CNのsetMacFilterCfg機能にスタックオーバーフロー脆弱性が存在することを公開した。CVSSスコア7.5の高リスク脆弱性として評価され、認証なしでネットワーク経由での攻撃が可能である。CWE-121に分類されるこの脆弱性は、システムの可用性に重大な影響を与える可能性があり、早急な対応が必要とされている。

【CVE-2025-29101】Tenda AC8 V16.03.34.06にスタックオーバーフロー脆弱性、高度な深刻度で早急な対応が必要に

【CVE-2025-29101】Tenda AC8 V16.03.34.06にスタックオーバー...

Tenda AC8 V16.03.34.06のget_parentControl_list_Info機能において、deviceidパラメータにスタックオーバーフローの脆弱性が発見された。CVSS評価で7.5(HIGH)を記録し、ネットワーク経由での攻撃が可能で攻撃条件の複雑さは低いと判定されている。自動化された攻撃の可能性も指摘され、早急な対策が求められる状況だ。

【CVE-2025-29101】Tenda AC8 V16.03.34.06にスタックオーバー...

Tenda AC8 V16.03.34.06のget_parentControl_list_Info機能において、deviceidパラメータにスタックオーバーフローの脆弱性が発見された。CVSS評価で7.5(HIGH)を記録し、ネットワーク経由での攻撃が可能で攻撃条件の複雑さは低いと判定されている。自動化された攻撃の可能性も指摘され、早急な対策が求められる状況だ。

【CVE-2025-29215】Tenda AX12にスタックオーバーフロー脆弱性、ネットワーク経由での攻撃リスクに警戒

【CVE-2025-29215】Tenda AX12にスタックオーバーフロー脆弱性、ネットワー...

Tenda AX12 v22.03.01.46_CNにおいて、SetNetControlList機能のsub_43fdcc関数にスタックオーバーフローの脆弱性が発見された。CVE-2025-29215として識別されるこの脆弱性は、CVSSスコア6.5のMEDIUMレベルと評価され、ネットワークからのアクセスによる攻撃が可能で、攻撃条件の複雑さも低いとされている。CISAの評価では部分的な影響があるとされ、早急な対応が必要とされる。

【CVE-2025-29215】Tenda AX12にスタックオーバーフロー脆弱性、ネットワー...

Tenda AX12 v22.03.01.46_CNにおいて、SetNetControlList機能のsub_43fdcc関数にスタックオーバーフローの脆弱性が発見された。CVE-2025-29215として識別されるこの脆弱性は、CVSSスコア6.5のMEDIUMレベルと評価され、ネットワークからのアクセスによる攻撃が可能で、攻撃条件の複雑さも低いとされている。CISAの評価では部分的な影響があるとされ、早急な対応が必要とされる。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル削除が可能に

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2024-13922】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordfenceはWordPress用プラグイン「Order Export & Order Import for WooCommerce」のバージョン2.6.0以前に、ディレクトリトラバーサルの脆弱性が存在することを発表した。この脆弱性により、管理者以上の権限を持つユーザーがadmin_log_page関数を介して任意のログファイルを削除できる問題が明らかになった。CVE-2024-13922として識別され、CVSSスコアは2.7(Low)と評価されている。

【CVE-2025-29218】Tenda W18E v2.0にスタックオーバーフロー脆弱性、DoS攻撃のリスクが浮上

【CVE-2025-29218】Tenda W18E v2.0にスタックオーバーフロー脆弱性、...

MITREがTenda W18E v2.0 v16.01.0.11に深刻な脆弱性を発見した。wifiPwdパラメータにおけるスタックオーバーフローの問題により、攻撃者は細工されたPOSTリクエストでDoS攻撃を実行可能。CVSSスコアは6.5(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。CWE-121に分類され、技術的影響は部分的だが、早急な対策が求められる。

【CVE-2025-29218】Tenda W18E v2.0にスタックオーバーフロー脆弱性、...

MITREがTenda W18E v2.0 v16.01.0.11に深刻な脆弱性を発見した。wifiPwdパラメータにおけるスタックオーバーフローの問題により、攻撃者は細工されたPOSTリクエストでDoS攻撃を実行可能。CVSSスコアは6.5(MEDIUM)で、攻撃の複雑さは低いものの特権が必要。CWE-121に分類され、技術的影響は部分的だが、早急な対策が求められる。

【CVE-2025-29217】Tenda W18E v2.0にスタックオーバーフロー脆弱性、サービス拒否攻撃のリスクが浮上

【CVE-2025-29217】Tenda W18E v2.0にスタックオーバーフロー脆弱性、...

MITREは2025年3月20日、Tenda W18E v2.0 v16.01.0.11に深刻な脆弱性が存在することを公開した。この脆弱性はwifiSSIDパラメータにスタックオーバーフローが存在するもので、不正なPOSTリクエストによってサービス拒否攻撃が可能になる。CVSSスコアは6.5(中程度)と評価され、CWE-121に分類される重要な脆弱性として認識されている。

【CVE-2025-29217】Tenda W18E v2.0にスタックオーバーフロー脆弱性、...

MITREは2025年3月20日、Tenda W18E v2.0 v16.01.0.11に深刻な脆弱性が存在することを公開した。この脆弱性はwifiSSIDパラメータにスタックオーバーフローが存在するもので、不正なPOSTリクエストによってサービス拒否攻撃が可能になる。CVSSスコアは6.5(中程度)と評価され、CWE-121に分類される重要な脆弱性として認識されている。

【CVE-2025-30348】QtのQDomコンポーネントに脆弱性、複数バージョンで非効率なアルゴリズムの問題が発覚

【CVE-2025-30348】QtのQDomコンポーネントに脆弱性、複数バージョンで非効率な...

MITREがQtのQDomコンポーネントにおけるencodeText機能の脆弱性を公開。XML文字列のコピーと文字列の一部のインライン置換に関連する問題が発見され、CVSSスコア5.8のミディアムレベルと評価された。Qt 5.15.19未満、Qt 6.0.0から6.5.9未満、Qt 6.6.0から6.8.0未満のバージョンが影響を受け、非効率なアルゴリズムの複雑性による潜在的なリスクが指摘されている。

【CVE-2025-30348】QtのQDomコンポーネントに脆弱性、複数バージョンで非効率な...

MITREがQtのQDomコンポーネントにおけるencodeText機能の脆弱性を公開。XML文字列のコピーと文字列の一部のインライン置換に関連する問題が発見され、CVSSスコア5.8のミディアムレベルと評価された。Qt 5.15.19未満、Qt 6.0.0から6.5.9未満、Qt 6.6.0から6.8.0未満のバージョンが影響を受け、非効率なアルゴリズムの複雑性による潜在的なリスクが指摘されている。

【CVE-2025-2620】D-Link DAP-1620に認証回避可能な重大な脆弱性、サポート終了製品のため早急な対策が必要に

【CVE-2025-2620】D-Link DAP-1620に認証回避可能な重大な脆弱性、サポ...

D-Link DAP-1620 1.03の認証ハンドラに重大な脆弱性が発見された。スタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能となっている。CVSS 4.0で9.3、CVSS 3.1で9.8という高いスコアが付与され、認証不要でネットワーク経由での攻撃が可能。特に製品がサポート終了しているため、早急な対策が必要となっている。

【CVE-2025-2620】D-Link DAP-1620に認証回避可能な重大な脆弱性、サポ...

D-Link DAP-1620 1.03の認証ハンドラに重大な脆弱性が発見された。スタックベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能となっている。CVSS 4.0で9.3、CVSS 3.1で9.8という高いスコアが付与され、認証不要でネットワーク経由での攻撃が可能。特に製品がサポート終了しているため、早急な対策が必要となっている。

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃によるシステム侵害の危険性が判明

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にヒープベースバッファオーバーフローの脆弱性が発見され、CVE-2025-2618として公開された。CVSSスコアは最大10.0を記録し、リモートからの攻撃が可能でユーザー認証も不要という深刻な状況。既に攻撃コードが公開されており、サポート終了製品であることから早急な対応が必要とされている。

【CVE-2025-2618】D-Link DAP-1620に重大な脆弱性、リモート攻撃による...

D-Link DAP-1620 1.03にヒープベースバッファオーバーフローの脆弱性が発見され、CVE-2025-2618として公開された。CVSSスコアは最大10.0を記録し、リモートからの攻撃が可能でユーザー認証も不要という深刻な状況。既に攻撃コードが公開されており、サポート終了製品であることから早急な対応が必要とされている。

【CVE-2025-2680】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、早急な対策が必要に

【CVE-2025-2680】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-assign-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2680として登録されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1/3.0で7.3(HIGH)と評価され、特権やユーザー操作不要でリモートから攻撃可能。既に攻撃手法が公開されており、早急な対策が求められている。

【CVE-2025-2680】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-assign-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2680として登録されたこの脆弱性は、CVSS 4.0で6.9(MEDIUM)、CVSS 3.1/3.0で7.3(HIGH)と評価され、特権やユーザー操作不要でリモートから攻撃可能。既に攻撃手法が公開されており、早急な対策が求められている。

【CVE-2025-2679】PHPGurukul Bank Locker Management Systemに深刻なSQLインジェクション脆弱性、早急な対応が必要に

【CVE-2025-2679】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のcontact-us.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2679として識別されるこの脆弱性は、CVSS 3.1で7.3(HIGH)と評価される深刻なものであり、リモートからの攻撃が可能で既に攻撃コードが公開されている。認証を必要としないため、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2679】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のcontact-us.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2679として識別されるこの脆弱性は、CVSS 3.1で7.3(HIGH)と評価される深刻なものであり、リモートからの攻撃が可能で既に攻撃コードが公開されている。認証を必要としないため、早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2675】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融データ漏洩のリスクに警戒

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

【CVE-2025-2675】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のadd-lockertype.phpファイルにおいて、重大なSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)と評価される深刻な脆弱性で、特別な権限やユーザー操作なしでリモート攻撃が可能。既に公開されており、早急な対応が必要とされている。銀行のロッカー管理という重要システムであり、顧客情報や金融データの漏洩リスクが懸念される。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセキュリティ対策の強化へ

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

MicrosoftがSecurity Copilotに自律型AIエージェントを追加、包括的なセ...

Microsoftは2025年3月24日、Security Copilotに6つの自社製AIエージェントと5つのパートナー企業製AIエージェントを追加すると発表した。フィッシング検出や情報漏洩の警告、脆弱性の修復など、セキュリティ対策を自動化するAIエージェントにより、1日840兆件のシグナル処理と1秒間7000件のパスワード攻撃に対する効率的な対応が可能になる。

サイバーセキュリティクラウドがSIDfm VMにエージェントレス機能を追加、ネットワーク機器の脆弱性管理が効率化

サイバーセキュリティクラウドがSIDfm VMにエージェントレス機能を追加、ネットワーク機器の...

サイバーセキュリティクラウドは2025年3月25日、脆弱性管理ツール「SIDfm VM」に新機能としてエージェントレス機能を追加した。SNMPを利用してエージェントなしでネットワーク機器の情報を取得し、脆弱性の自動検出および対策状況の管理が可能となる。TOTPアプリを利用した2要素認証も導入され、より安全な環境でのサービス利用が実現した。

サイバーセキュリティクラウドがSIDfm VMにエージェントレス機能を追加、ネットワーク機器の...

サイバーセキュリティクラウドは2025年3月25日、脆弱性管理ツール「SIDfm VM」に新機能としてエージェントレス機能を追加した。SNMPを利用してエージェントなしでネットワーク機器の情報を取得し、脆弱性の自動検出および対策状況の管理が可能となる。TOTPアプリを利用した2要素認証も導入され、より安全な環境でのサービス利用が実現した。

IPAがIoT製品向けセキュリティラベリング制度JC-STARを開始、製品の安全性評価と可視化を実現

IPAがIoT製品向けセキュリティラベリング制度JC-STARを開始、製品の安全性評価と可視化を実現

独立行政法人情報処理推進機構は2025年3月25日から「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始した。IoT製品の★1セキュリティ要件を満たした製品に適合ラベルを付与し、政府機関や企業、一般消費者が安全なIoT製品を選びやすい環境を整備。2025年9月30日までの申請は特別価格110,000円で受付を行う。

IPAがIoT製品向けセキュリティラベリング制度JC-STARを開始、製品の安全性評価と可視化を実現

独立行政法人情報処理推進機構は2025年3月25日から「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」の運用を開始した。IoT製品の★1セキュリティ要件を満たした製品に適合ラベルを付与し、政府機関や企業、一般消費者が安全なIoT製品を選びやすい環境を整備。2025年9月30日までの申請は特別価格110,000円で受付を行う。

テクマトリックスが自動ペネトレーションテストツールPenteraの販売を開始、セキュリティ対策の強化に向け国内展開を加速

テクマトリックスが自動ペネトレーションテストツールPenteraの販売を開始、セキュリティ対策...

テクマトリックスがPentera Security SG Pte Ltd.とパートナー契約を締結し、自動ペネトレーションテストツールPenteraの販売を開始。CTEMの概念に基づき、IT環境全体に対する自動化された侵入テストを実施し、脅威の継続的な監視・評価が可能となる。既存の脆弱性管理ソリューションと組み合わせたセキュリティサービスの強化を図り、様々な業種・業態の顧客にソリューションを提供していく。

テクマトリックスが自動ペネトレーションテストツールPenteraの販売を開始、セキュリティ対策...

テクマトリックスがPentera Security SG Pte Ltd.とパートナー契約を締結し、自動ペネトレーションテストツールPenteraの販売を開始。CTEMの概念に基づき、IT環境全体に対する自動化された侵入テストを実施し、脅威の継続的な監視・評価が可能となる。既存の脆弱性管理ソリューションと組み合わせたセキュリティサービスの強化を図り、様々な業種・業態の顧客にソリューションを提供していく。

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参照の脆弱性を発見、ローカル実行による攻撃の可能性

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参...

セキュリティ機関VulDBが、libarchiveの3.7.7以前のバージョンにおいてヌルポインタ参照の脆弱性を発見した。bsdunzip.cファイルのlist関数に存在するこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSS 4.0で中程度(スコア4.8)と評価されている。すでに脆弱性の詳細が公開されており、実際の攻撃に利用される可能性も指摘されているため、早急な対応が求められる。

【CVE-2025-1632】libarchive 3.7.7以前のバージョンでヌルポインタ参...

セキュリティ機関VulDBが、libarchiveの3.7.7以前のバージョンにおいてヌルポインタ参照の脆弱性を発見した。bsdunzip.cファイルのlist関数に存在するこの脆弱性は、ローカルホストでの攻撃実行が可能で、CVSS 4.0で中程度(スコア4.8)と評価されている。すでに脆弱性の詳細が公開されており、実際の攻撃に利用される可能性も指摘されているため、早急な対応が求められる。

【CVE-2025-1517】Sina Extension for Elementor 3.6.0以下にXSS脆弱性、投稿者権限で悪用の可能性

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2025-1517】Sina Extension for Elementor 3.6...

WordPressプラグイン「Sina Extension for Elementor」のバージョン3.6.0以下に、深刻なXSS脆弱性が発見された。Fancy Text、Countdown Widget、Login Formのショートコードで入力検証が不十分なため、投稿者以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSS評価は6.4でMEDIUMレベルとされ、早急な対応が推奨される。

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書き込みでサービス拒否攻撃の可能性

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書...

2025年3月6日、GitHubはImageSharpのGIFデコーダーに存在する範囲外書き込みの脆弱性(CVE-2025-27598)を公開した。CVSS 3.1で7.5の高リスクと評価されたこの脆弱性は、特別に細工されたGIFファイルによってクラッシュを引き起こし、サービス拒否攻撃につながる可能性がある。SixLabors社は既にパッチを公開しており、影響を受けるバージョンのユーザーはv3.1.7またはv2.1.10への更新が推奨される。

【CVE-2025-27598】ImageSharpに深刻な脆弱性、GIFデコーダーの範囲外書...

2025年3月6日、GitHubはImageSharpのGIFデコーダーに存在する範囲外書き込みの脆弱性(CVE-2025-27598)を公開した。CVSS 3.1で7.5の高リスクと評価されたこの脆弱性は、特別に細工されたGIFファイルによってクラッシュを引き起こし、サービス拒否攻撃につながる可能性がある。SixLabors社は既にパッチを公開しており、影響を受けるバージョンのユーザーはv3.1.7またはv2.1.10への更新が推奨される。

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱性、管理者権限の不正操作が可能に

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱...

WordPressのAIコンテンツ管理プラグイン「Aiomatic」において、バージョン2.3.6以前の全バージョンで認証機能の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者権限の操作を実行可能となっており、投稿の更新や削除、各種設定の変更などが不正に行える状態となっている。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13816】WordPressのAiomaticプラグインに認証機能の脆弱...

WordPressのAIコンテンツ管理プラグイン「Aiomatic」において、バージョン2.3.6以前の全バージョンで認証機能の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者権限の操作を実行可能となっており、投稿の更新や削除、各種設定の変更などが不正に行える状態となっている。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエラーページで発生

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2024-13918】LaravelフレームワークにXSS脆弱性、デバッグモードのエ...

Laravel Holdings Inc.はLaravel Frameworkのバージョン11.9.0から11.35.1において、デバッグモードのエラーページにリクエストパラメータの不適切なエンコードに起因するReflected XSSの脆弱性が存在することを公開した。CVE-2024-13918として追跡されるこの脆弱性は、CVSSスコア8.0のHigh深刻度と評価されており、v11.36.0で修正された。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、認証済みユーザーによる情報漏洩の危険性

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-13407】WordPressプラグインOmnipressに深刻な脆弱性、...

WordFenceは2025年3月14日、WordPressプラグインOmnipressのバージョン1.5.4以前に情報漏洩の脆弱性が存在することを公開した。この脆弱性により、投稿者権限以上を持つ認証済みユーザーが、パスワード保護されたコンテンツや非公開コンテンツ、下書き状態の投稿に不正アクセスできる問題が発生している。CVSS v3.1で4.3(MEDIUM)と評価される深刻な問題であり、早急な対応が求められている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプションの不正更新のリスクが発生

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2024-2289】Zegen WordPress テーマに認証の脆弱性、テーマオプ...

WordPress用テーマ「Zegen - Church WordPress Theme」のバージョン1.1.9以前に認証に関する脆弱性が発見された。複数のAJAXエンドポイントで権限チェックが欠落しており、Subscriber以上の権限を持つユーザーがテーマオプションを更新可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、攻撃の複雑さは低く特権レベルも低いが、整合性への影響は限定的と評価されている。

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性、管理者権限の不正取得が可能に

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...

WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2025-2232】WordPressプラグインRealteoに認証バイパスの脆弱性...

WordPressのRealteo - Real Estate Pluginにおいて、バージョン1.2.8以前の全バージョンで深刻な認証バイパスの脆弱性が発見された。この脆弱性はdo_register_user関数の権限制限の不備により、未認証の攻撃者が管理者権限を持つアカウントを作成可能となる。CVSSスコア9.8のクリティカルな脆弱性として報告されており、早急な対応が必要とされている。

【CVE-2024-13903】quickjs-ng QuickJSにスタックベースバッファオーバーフローの脆弱性、バージョン0.9.0で修正完了

【CVE-2024-13903】quickjs-ng QuickJSにスタックベースバッファオ...

quickjs-ng QuickJSのバージョン0.8.0以前に重大な脆弱性が発見された。この脆弱性は、quickjs.cファイルのJS_GetRuntime関数に影響を及ぼすスタックベースバッファオーバーフローで、リモートからの攻撃が可能であることが判明。CVSSスコアは最大で5.3(中程度)を記録し、開発チームは既にバージョン0.9.0でこの問題に対処するパッチを公開している。

【CVE-2024-13903】quickjs-ng QuickJSにスタックベースバッファオ...

quickjs-ng QuickJSのバージョン0.8.0以前に重大な脆弱性が発見された。この脆弱性は、quickjs.cファイルのJS_GetRuntime関数に影響を及ぼすスタックベースバッファオーバーフローで、リモートからの攻撃が可能であることが判明。CVSSスコアは最大で5.3(中程度)を記録し、開発チームは既にバージョン0.9.0でこの問題に対処するパッチを公開している。