Tech Insights

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バージョン3.1.8以前に影響

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2025-1773】WordPressテーマTravelerに深刻なXSS脆弱性、バ...

WordfenceによってWordPressテーマTravelerに反射型クロスサイトスクリプティング脆弱性が発見された。CVE-2025-1773として識別されるこの脆弱性は、バージョン3.1.8以前のすべてのバージョンに影響を及ぼし、認証されていない攻撃者が悪意のあるスクリプトを実行できる可能性がある。CVSSスコアは6.1(中)と評価され、早急な対応が推奨される。

【CVE-2024-13847】WordPressプラグインPortfolio and Projectsに深刻なXSS脆弱性、マルチサイト環境に影響

【CVE-2024-13847】WordPressプラグインPortfolio and Pro...

WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。

【CVE-2024-13847】WordPressプラグインPortfolio and Pro...

WordPressプラグイン「Portfolio and Projects」のバージョン1.5.3以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は管理者権限で悪用可能で、マルチサイト環境に影響を及ぼす。CVSSスコア4.9でMEDIUMと評価され、入力検証と出力エスケープの不備により、任意のスクリプト実行が可能となっている。早急なアップデートが推奨される。

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱性、未認証での攻撃が可能に

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱...

ShineTheme社のWordPressテーマTravelerにおいて、バージョン3.1.8以前の全バージョンでローカルファイルインクルージョン脆弱性が発見された。hotel_alone_load_more_post機能のstyleパラメータを介して、未認証の攻撃者がサーバー上の任意のファイルを実行できる状態にある。CVSSスコア9.8の深刻な脆弱性として評価されており、早急な対応が求められる。

【CVE-2025-1771】WordPressテーマTraveler 3.1.8にLFI脆弱...

ShineTheme社のWordPressテーマTravelerにおいて、バージョン3.1.8以前の全バージョンでローカルファイルインクルージョン脆弱性が発見された。hotel_alone_load_more_post機能のstyleパラメータを介して、未認証の攻撃者がサーバー上の任意のファイルを実行できる状態にある。CVSSスコア9.8の深刻な脆弱性として評価されており、早急な対応が求められる。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプティングの脆弱性、管理者権限の悪用のリスクに

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2163】Zoorum Comments 0.9以前にクロスサイトスクリプ...

WordPressプラグインZoorum Commentsのバージョン0.9以前に、クロスサイトリクエストフォージェリを介したクロスサイトスクリプティングの脆弱性が発見された。攻撃者は管理者を特定の行動に誘導することで、管理者権限での設定変更や不正なスクリプト実行が可能となる。CVSSスコアは6.1でMedium評価。CISAも追加情報を公開している。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆弱性、バージョン0.8.2以前に影響

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-2164】WordPressプラグインpixelstatsに反射型XSS脆...

WordPressプラグインpixelstatsにおいて、入力サニタイズとアウトプットエスケープの不備による反射型クロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.1(MEDIUM)と評価されており、未認証の攻撃者による悪意のあるスクリプト実行のリスクが存在する。post_idとsortbyパラメータが影響を受けるコンポーネントとして特定されている。

【CVE-2025-29427】Online Class and Exam Scheduling System V1.0にXSS脆弱性、教育システムのセキュリティ対策が急務に

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

【CVE-2025-29427】Online Class and Exam Schedulin...

MITRE CorporationがOnline Class and Exam Scheduling System V1.0のprofile.phpにおけるXSS脆弱性を公開。CVSSスコア5.9のMEDIUMレベルの脆弱性として評価され、member_firstとmember_lastパラメータを介した攻撃が可能。CISAによる追加評価も実施され、教育機関のオンラインシステムセキュリティ強化の必要性が指摘されている。

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSocketメッセージサイズ制限の無効化による深刻な影響

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSo...

Protect AIは2025年3月20日、機械学習実験追跡ツールaimhubio/aim 3.25.0にサービス拒否攻撃の脆弱性が存在することを公開した。CVSSスコア7.5の深刻度「HIGH」と評価されたこの脆弱性では、WebSocketメッセージの最大サイズ制限が無効化され、大容量画像データの処理中にサーバーが応答不能となる問題が確認されている。

【CVE-2025-0189】aimhubio/aim 3.25.0にDoS脆弱性、WebSo...

Protect AIは2025年3月20日、機械学習実験追跡ツールaimhubio/aim 3.25.0にサービス拒否攻撃の脆弱性が存在することを公開した。CVSSスコア7.5の深刻度「HIGH」と評価されたこの脆弱性では、WebSocketメッセージの最大サイズ制限が無効化され、大容量画像データの処理中にサーバーが応答不能となる問題が確認されている。

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリスクが明らかに

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリス...

Protect AIは2025年3月20日、Ollamaのバージョン0.3.14以前に存在する重大な脆弱性を公開した。CVE-2025-0312として報告されたこの脆弱性は、悪意のあるユーザーが特別に細工したGGUFモデルファイルをアップロードすることでNULLポインター参照を引き起こし、サーバーをクラッシュさせる可能性がある。CVSSスコア7.5のHIGHレベルの深刻度を持つこの脆弱性は、早急な対応が推奨される。

【CVE-2025-0312】Ollamaに深刻な脆弱性、カスタムモデルによるDoS攻撃のリス...

Protect AIは2025年3月20日、Ollamaのバージョン0.3.14以前に存在する重大な脆弱性を公開した。CVE-2025-0312として報告されたこの脆弱性は、悪意のあるユーザーが特別に細工したGGUFモデルファイルをアップロードすることでNULLポインター参照を引き起こし、サーバーをクラッシュさせる可能性がある。CVSSスコア7.5のHIGHレベルの深刻度を持つこの脆弱性は、早急な対応が推奨される。

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオーバーフローによる攻撃の危険性が明らかに

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオー...

MITRE Corporationが2025年3月20日、Tenda AC6 V15.03.05.16のWiFi設定機能において重大な脆弱性を発見したことを公開した。timeZoneパラメータを使用した際に発生するスタックベースのバッファオーバーフローにより、システムの可用性に重大な影響を及ぼす可能性がある。CISSスコア7.5の高深刻度と評価され、自動化された攻撃も可能なため、早急な対応が求められている。

【CVE-2025-29121】Tenda AC6に深刻な脆弱性、スタックベースのバッファオー...

MITRE Corporationが2025年3月20日、Tenda AC6 V15.03.05.16のWiFi設定機能において重大な脆弱性を発見したことを公開した。timeZoneパラメータを使用した際に発生するスタックベースのバッファオーバーフローにより、システムの可用性に重大な影響を及ぼす可能性がある。CISSスコア7.5の高深刻度と評価され、自動化された攻撃も可能なため、早急な対応が求められている。

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow脆弱性、リモート攻撃のリスクで緊急対応が必要に

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow...

D-Link DSL-3788 revA1 1.01R1B036_EU_ENにBuffer Overflow脆弱性が発見され、CISAが高深刻度(CVSS 7.5)の評価を発表した。webprocのCOMM_MAKECustomMsg関数に存在するこの脆弱性は、特権やユーザー操作を必要とせずリモートから攻撃可能な状態にあり、システムに部分的な影響を与える可能性があるため、早急な対策が求められている。

【CVE-2024-57440】D-Link DSL-3788にBuffer Overflow...

D-Link DSL-3788 revA1 1.01R1B036_EU_ENにBuffer Overflow脆弱性が発見され、CISAが高深刻度(CVSS 7.5)の評価を発表した。webprocのCOMM_MAKECustomMsg関数に存在するこの脆弱性は、特権やユーザー操作を必要とせずリモートから攻撃可能な状態にあり、システムに部分的な影響を与える可能性があるため、早急な対策が求められている。

【CVE-2025-29411】iBanking v2.0.0に深刻な脆弱性、任意のPHPファイルアップロードによる遠隔からの攻撃が可能に

【CVE-2025-29411】iBanking v2.0.0に深刻な脆弱性、任意のPHPファ...

Mart Developers社のiBanking v2.0.0のClient Profile Update機能に任意のファイルアップロード脆弱性が発見された。CVSS 3.1で最高レベルのCritical(9.8)に評価されたこの脆弱性により、攻撃者は細工されたPHPファイルをアップロードし任意のコードを実行可能。CISAは攻撃の自動化も可能と指摘しており、早急な対策が必要とされている。

【CVE-2025-29411】iBanking v2.0.0に深刻な脆弱性、任意のPHPファ...

Mart Developers社のiBanking v2.0.0のClient Profile Update機能に任意のファイルアップロード脆弱性が発見された。CVSS 3.1で最高レベルのCritical(9.8)に評価されたこの脆弱性により、攻撃者は細工されたPHPファイルをアップロードし任意のコードを実行可能。CISAは攻撃の自動化も可能と指摘しており、早急な対策が必要とされている。

【CVE-2025-2639】JIZHICMSに認可の不備の脆弱性が発見、バージョン1.7.0まで影響

【CVE-2025-2639】JIZHICMSに認可の不備の脆弱性が発見、バージョン1.7.0...

JIZHICMSのバージョン1.7.0以前に重大な認可の不備が発見された。この脆弱性は記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で中程度の5.3を記録し、既に公開されて悪用される可能性がある。影響を受けるバージョンは1.0から1.7.0まですべてであり、早急な対応が必要とされている。

【CVE-2025-2639】JIZHICMSに認可の不備の脆弱性が発見、バージョン1.7.0...

JIZHICMSのバージョン1.7.0以前に重大な認可の不備が発見された。この脆弱性は記事ハンドラーコンポーネントの/user/release.htmlファイルに影響を与え、リモートからの攻撃が可能な状態となっている。CVSSスコアは最新のバージョン4.0で中程度の5.3を記録し、既に公開されて悪用される可能性がある。影響を受けるバージョンは1.0から1.7.0まですべてであり、早急な対応が必要とされている。

【CVE-2025-27167】Adobe Illustrator 29.2.1以前に深刻な検索パス脆弱性、不正プログラム実行のリスクが浮上

【CVE-2025-27167】Adobe Illustrator 29.2.1以前に深刻な検...

Adobeは2025年3月11日、Illustratorのバージョン29.2.1および28.7.4以前に影響する重大な検索パス脆弱性を公開した。CVE-2025-27167として識別されるこの脆弱性は、CVSS 3.1で深刻度スコア7.8のHIGHと評価されている。攻撃者による不正プログラムの実行やデータファイルへの不正アクセス、設定の改ざんなどのリスクが指摘されており、早急な対応が求められる。

【CVE-2025-27167】Adobe Illustrator 29.2.1以前に深刻な検...

Adobeは2025年3月11日、Illustratorのバージョン29.2.1および28.7.4以前に影響する重大な検索パス脆弱性を公開した。CVE-2025-27167として識別されるこの脆弱性は、CVSS 3.1で深刻度スコア7.8のHIGHと評価されている。攻撃者による不正プログラムの実行やデータファイルへの不正アクセス、設定の改ざんなどのリスクが指摘されており、早急な対応が求められる。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクションの脆弱性、リモートコード実行の危険性が指摘される

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-0185】langgenius/difyにPandasクエリインジェクショ...

Protect AIは2025年3月20日、langgenius/difyのVanna moduleに深刻な脆弱性が発見されたことを公開した。最新バージョンまでの全てのバージョンに影響を与えるこの脆弱性は、Pandasクエリインジェクションの問題でCVE-2025-0185として識別され、CVSS評価で8.8(HIGH)のスコアが付けられている。リモートコード実行の可能性も指摘されており、早急な対応が求められる。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整数アンダーフローによるリモート攻撃のリスクに警戒

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

【CVE-2025-2581】xmedcon 0.25.0にDICOMファイル処理の脆弱性、整...

医用画像変換ソフトウェアxmedcon 0.25.0のDICOMファイルハンドラーにおいて、malloc関数の整数アンダーフロー脆弱性が発見された。CVE-2025-2581として識別されるこの脆弱性は、リモートからの攻撃が可能でCVSS v4.0で中程度(5.3)と評価されている。開発元は対策版となるバージョン0.25.1をリリースしており、影響を受けるユーザーへの早急なアップグレードを推奨している。

NECネッツエスアイが工場内SOCサービスを強化、TXOneのStellarを追加してOTデバイスの保護機能を拡充

NECネッツエスアイが工場内SOCサービスを強化、TXOneのStellarを追加してOTデバ...

NECネッツエスアイは工場内SOCサービス「産業セキュリティ運用サービス」にTXOne Networks JapanのエンドポイントソリューションStellarを追加し、OTネットワークの監視や保護に加えてOTデバイスの保護や不審な外部機器の接続検知にも対応。製造業のスマートファクトリー化に伴うセキュリティ課題の解決を目指し、2027年までに累計100社の導入を目標とする。

NECネッツエスアイが工場内SOCサービスを強化、TXOneのStellarを追加してOTデバ...

NECネッツエスアイは工場内SOCサービス「産業セキュリティ運用サービス」にTXOne Networks JapanのエンドポイントソリューションStellarを追加し、OTネットワークの監視や保護に加えてOTデバイスの保護や不審な外部機器の接続検知にも対応。製造業のスマートファクトリー化に伴うセキュリティ課題の解決を目指し、2027年までに累計100社の導入を目標とする。

【CVE-2025-2219】LoveCardsV2に深刻な画像アップロード機能の脆弱性、ベンダーの対応の遅れが課題に

【CVE-2025-2219】LoveCardsV2に深刻な画像アップロード機能の脆弱性、ベン...

LoveCardsV2のバージョン2.3.2以前に深刻な脆弱性が発見され、CVE-2025-2219として公開された。/api/upload/imageのファイル処理における制限のないアップロードの脆弱性により、リモートからの攻撃が可能となっている。CVSSスコアは最大7.3(High)と評価され、特権やユーザーインタラクションなしでの攻撃実行の可能性が指摘されている。

【CVE-2025-2219】LoveCardsV2に深刻な画像アップロード機能の脆弱性、ベン...

LoveCardsV2のバージョン2.3.2以前に深刻な脆弱性が発見され、CVE-2025-2219として公開された。/api/upload/imageのファイル処理における制限のないアップロードの脆弱性により、リモートからの攻撃が可能となっている。CVSSスコアは最大7.3(High)と評価され、特権やユーザーインタラクションなしでの攻撃実行の可能性が指摘されている。

【CVE-2025-1507】ShareThis Dashboard for Google Analytics 3.2.1に認証バイパスの脆弱性、機能無効化のリスクが発生

【CVE-2025-1507】ShareThis Dashboard for Google A...

WordfenceはWordPress用プラグインShareThis Dashboard for Google Analyticsのバージョン3.2.1以前に存在する認証バイパスの脆弱性を公開した。handle_actions()関数における認証機能の欠落により、未認証の攻撃者が全機能を無効化できる問題が発見された。CVSSスコアは5.3(MEDIUM)と評価され、CWE-862(Missing Authorization)に分類されている。早急な対策が求められる重要な脆弱性事例となっている。

【CVE-2025-1507】ShareThis Dashboard for Google A...

WordfenceはWordPress用プラグインShareThis Dashboard for Google Analyticsのバージョン3.2.1以前に存在する認証バイパスの脆弱性を公開した。handle_actions()関数における認証機能の欠落により、未認証の攻撃者が全機能を無効化できる問題が発見された。CVSSスコアは5.3(MEDIUM)と評価され、CWE-862(Missing Authorization)に分類されている。早急な対策が求められる重要な脆弱性事例となっている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、LinkedInキーの漏洩リスクが発覚

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13773】WordPressテーマCivi 2.1.4に重大な脆弱性、L...

WordPressテーマ「Civi - Job Board & Freelance Marketplace WordPress Theme」のバージョン2.1.4以前に深刻な情報漏洩の脆弱性が発見された。ハードコードされた認証情報により、未認証の攻撃者がLinkedInのクライアントキーとシークレットキーにアクセス可能となる。CVSSスコア7.3の高リスク脆弱性として評価され、早急な対策が求められている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの脆弱性、管理者権限奪取の危険性

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13771】WordPress用テーマCivi 2.1.4に認証バイパスの...

WordFenceが2025年3月14日、Job Board & Freelance Marketplace用WordPressテーマCiviにおいて、深刻な認証バイパスの脆弱性を発見したことを公開した。バージョン2.1.4以前のすべてのバージョンが影響を受け、CVSSスコアは9.8と極めて高い。パスワード更新機能におけるユーザー検証の欠如により、攻撃者は管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性、パスワードランダム化の不備で任意のアカウントが危険に

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性...

WordfenceはJob Board & Freelance Marketplace WordPress テーマ「Civi」のバージョン2.1.4以前に認証バイパスの脆弱性が存在することを報告した。GoogleやFacebookを介したシングルサインオン機能においてパスワードのランダム化が適切に行われておらず、未認証の攻撃者が任意のCandidate権限ユーザーのパスワードを変更可能となっている。CVSSではミディアム(5.6)と評価されており、早急な対応が推奨される。

【CVE-2024-13772】CiviのWordPressテーマにSSO認証バイパスの脆弱性...

WordfenceはJob Board & Freelance Marketplace WordPress テーマ「Civi」のバージョン2.1.4以前に認証バイパスの脆弱性が存在することを報告した。GoogleやFacebookを介したシングルサインオン機能においてパスワードのランダム化が適切に行われておらず、未認証の攻撃者が任意のCandidate権限ユーザーのパスワードを変更可能となっている。CVSSではミディアム(5.6)と評価されており、早急な対応が推奨される。

reviewdog/action-setupに不正コード混入、GitHubアクションのシークレット情報流出の危険性が浮上

reviewdog/action-setupに不正コード混入、GitHubアクションのシークレ...

GitHubは2025年3月19日、reviewdog/action-setupに悪意のあるコードが混入され、GitHubアクションのワークフローログにシークレット情報が流出する可能性がある脆弱性を公開した。3月11日の約2時間にわたり発生したこの問題は、複数のreviewdogアクションに影響を及ぼす可能性があり、CVSS v3.1で8.6(High)のスコアが付与されている。

reviewdog/action-setupに不正コード混入、GitHubアクションのシークレ...

GitHubは2025年3月19日、reviewdog/action-setupに悪意のあるコードが混入され、GitHubアクションのワークフローログにシークレット情報が流出する可能性がある脆弱性を公開した。3月11日の約2時間にわたり発生したこの問題は、複数のreviewdogアクションに影響を及ぼす可能性があり、CVSS v3.1で8.6(High)のスコアが付与されている。

【CVE-2024-13920】WooCommerceプラグインにディレクトリトラバーサルの脆弱性、管理者権限で任意のログファイル読み取りが可能に

【CVE-2024-13920】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordPressプラグインのOrder Export & Import for WooCommerceにおいて、ディレクトリトラバーサルの脆弱性が発見された。バージョン2.6.0以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のログファイルを読み取ることが可能となる。CVSSスコアは4.9でMedium評価だが、機密情報漏洩のリスクがあり、早急な対応が推奨される。

【CVE-2024-13920】WooCommerceプラグインにディレクトリトラバーサルの脆...

WordPressプラグインのOrder Export & Import for WooCommerceにおいて、ディレクトリトラバーサルの脆弱性が発見された。バージョン2.6.0以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のログファイルを読み取ることが可能となる。CVSSスコアは4.9でMedium評価だが、機密情報漏洩のリスクがあり、早急な対応が推奨される。

【CVE-2024-13558】NP Quote Request for WooCommerceに未認証での情報漏洩の脆弱性、バージョン1.9.179以前に影響

【CVE-2024-13558】NP Quote Request for WooCommerc...

WordPressプラグイン「NP Quote Request for WooCommerce」にInsecure Direct Object Reference(IDOR)の脆弱性が発見された。バージョン1.9.179以前のすべてのバージョンが影響を受け、未認証の攻撃者が見積もり要求の内容を読み取ることが可能となる。CVSSスコア7.5のHigh深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-13558】NP Quote Request for WooCommerc...

WordPressプラグイン「NP Quote Request for WooCommerce」にInsecure Direct Object Reference(IDOR)の脆弱性が発見された。バージョン1.9.179以前のすべてのバージョンが影響を受け、未認証の攻撃者が見積もり要求の内容を読み取ることが可能となる。CVSSスコア7.5のHigh深刻度と評価されており、早急な対応が推奨される。

【CVE-2025-30179】Mattermostに深刻なMFA認証バイパスの脆弱性、複数バージョンで修正アップデートを緊急リリース

【CVE-2025-30179】Mattermostに深刻なMFA認証バイパスの脆弱性、複数バ...

Mattermost社が運営するビジネスチャットプラットフォームMattermostにおいて、MFA認証を回避できる重大な脆弱性が発見された。この脆弱性は複数のバージョン(10.4.x <= 10.4.2、10.3.x <= 10.3.3、9.11.x <= 9.11.8)に影響を及ぼし、特定の検索APIでMFA認証を回避できる問題が存在する。Mattermost社は即座に修正版をリリースし、ユーザーに更新を推奨している。

【CVE-2025-30179】Mattermostに深刻なMFA認証バイパスの脆弱性、複数バ...

Mattermost社が運営するビジネスチャットプラットフォームMattermostにおいて、MFA認証を回避できる重大な脆弱性が発見された。この脆弱性は複数のバージョン(10.4.x <= 10.4.2、10.3.x <= 10.3.3、9.11.x <= 9.11.8)に影響を及ぼし、特定の検索APIでMFA認証を回避できる問題が存在する。Mattermost社は即座に修正版をリリースし、ユーザーに更新を推奨している。

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、複数バージョンに影響

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、...

Mattermost社が同社プラットフォームの認可制御の脆弱性を公開。アーカイブされたチャンネルでのブックマーク操作が可能となる脆弱性が発見され、バージョン10.4.x、10.3.x、9.11.x、10.5.xの特定バージョンに影響。CVSSスコア4.3で中程度の深刻度と評価。修正版のリリースにより対策を実施し、セキュリティアップデートページで詳細情報を公開している。

【CVE-2025-24920】Mattermostにアーカイブチャンネルの認可制御の脆弱性、...

Mattermost社が同社プラットフォームの認可制御の脆弱性を公開。アーカイブされたチャンネルでのブックマーク操作が可能となる脆弱性が発見され、バージョン10.4.x、10.3.x、9.11.x、10.5.xの特定バージョンに影響。CVSSスコア4.3で中程度の深刻度と評価。修正版のリリースにより対策を実施し、セキュリティアップデートページで詳細情報を公開している。

【CVE-2025-27715】Mattermostにプライベートチャネルの権限設定の脆弱性、チーム管理者の意図しないアクセスが可能に

【CVE-2025-27715】Mattermostにプライベートチャネルの権限設定の脆弱性、...

Mattermost社は2025年3月21日、同社のコラボレーションプラットフォームMattermostのバージョン9.11.0から9.11.8において、チーム管理者がプライベートチャネルに意図せず参加できる脆弱性を公開した。CVSSスコアは3.3のLowと評価されているが、情報漏洩のリスクが存在するため、バージョン9.11.9または10.5.0への更新が推奨される。

【CVE-2025-27715】Mattermostにプライベートチャネルの権限設定の脆弱性、...

Mattermost社は2025年3月21日、同社のコラボレーションプラットフォームMattermostのバージョン9.11.0から9.11.8において、チーム管理者がプライベートチャネルに意図せず参加できる脆弱性を公開した。CVSSスコアは3.3のLowと評価されているが、情報漏洩のリスクが存在するため、バージョン9.11.9または10.5.0への更新が推奨される。

【CVE-2025-25274】Mattermostにアーカイブチャンネルでのコマンド実行制限バイパスの脆弱性、複数バージョンに影響

【CVE-2025-25274】Mattermostにアーカイブチャンネルでのコマンド実行制限...

Mattermost社が同社のコラボレーションプラットフォームにおける認証バイパスの脆弱性を公開。この脆弱性により、認証済みユーザーがアーカイブされたチャンネルでコマンドを実行できてしまう問題が発生。影響を受けるバージョンは10.4.x、10.3.x、9.11.xの特定バージョンで、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。

【CVE-2025-25274】Mattermostにアーカイブチャンネルでのコマンド実行制限...

Mattermost社が同社のコラボレーションプラットフォームにおける認証バイパスの脆弱性を公開。この脆弱性により、認証済みユーザーがアーカイブされたチャンネルでコマンドを実行できてしまう問題が発生。影響を受けるバージョンは10.4.x、10.3.x、9.11.xの特定バージョンで、CVSSスコア4.3のミディアムレベルの深刻度と評価されている。

【CVE-2025-26336】Dell PowerEdge FX2とVRTXのCMCファームウェアに重大な脆弱性、リモート実行の危険性

【CVE-2025-26336】Dell PowerEdge FX2とVRTXのCMCファーム...

DellのChassis Management Controller(CMC)ファームウェアにStack-based Buffer Overflow脆弱性が発見された。Dell PowerEdge FX2およびVRTXの特定バージョンが影響を受け、リモートからの未認証攻撃によりシステムが危険にさらされる可能性がある。CVSSスコア8.3の高リスク評価となっており、早急なアップデートが推奨される。

【CVE-2025-26336】Dell PowerEdge FX2とVRTXのCMCファーム...

DellのChassis Management Controller(CMC)ファームウェアにStack-based Buffer Overflow脆弱性が発見された。Dell PowerEdge FX2およびVRTXの特定バージョンが影響を受け、リモートからの未認証攻撃によりシステムが危険にさらされる可能性がある。CVSSスコア8.3の高リスク評価となっており、早急なアップデートが推奨される。

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオブジェクトインジェクションの脆弱性、認証済みユーザーによる攻撃のリスク

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオ...

WordPressプラグインのProfileGrid – User Profiles, Groups and Communitiesにおいて、バージョン5.9.4.5以前に深刻な脆弱性が発見された。get_user_meta_fields_html関数での信頼できない入力のデシリアライゼーションにより、Subscriber以上の権限を持つユーザーがPHPオブジェクトインジェクション攻撃を実行可能。POPチェーンを含む環境では、任意のファイル削除や機密データの取得、コード実行などのリスクがある。

【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオ...

WordPressプラグインのProfileGrid – User Profiles, Groups and Communitiesにおいて、バージョン5.9.4.5以前に深刻な脆弱性が発見された。get_user_meta_fields_html関数での信頼できない入力のデシリアライゼーションにより、Subscriber以上の権限を持つユーザーがPHPオブジェクトインジェクション攻撃を実行可能。POPチェーンを含む環境では、任意のファイル削除や機密データの取得、コード実行などのリスクがある。