Tech Insights

【CVE-2024-13739】WordPressプラグインNewsletters 4.9.9.7以前にXSS脆弱性、管理者権限での実行の危険性

【CVE-2024-13739】WordPressプラグインNewsletters 4.9.9...

WordPressプラグインNewslettersにおいて、バージョン4.9.9.7以前に影響するリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVE-2024-13739として識別され、CVSSスコア6.1のミディアムレベルと評価されている。未認証の攻撃者が管理者を特定の操作に誘導することで、悪意のあるスクリプトを実行できる可能性があり、早急な対応が推奨される。

【CVE-2024-13739】WordPressプラグインNewsletters 4.9.9...

WordPressプラグインNewslettersにおいて、バージョン4.9.9.7以前に影響するリフレクテッドクロスサイトスクリプティングの脆弱性が発見された。この脆弱性はCVE-2024-13739として識別され、CVSSスコア6.1のミディアムレベルと評価されている。未認証の攻撃者が管理者を特定の操作に誘導することで、悪意のあるスクリプトを実行できる可能性があり、早急な対応が推奨される。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパスが可能に

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.4以前に重大な認可の欠陥が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが管理者専用のグループ参加申請管理機能にアクセス可能となる。CVE-2025-1408として報告され、CVSSスコア4.3のMedium評価。プラグインの更新による対応が推奨される。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクシ...

westboy CicadasCMS 1.0において、content/fujian/laiyuanパラメータを介したSQLインジェクションの脆弱性が発見された。CVE-2025-2624として識別されたこの脆弱性は、リモートからの攻撃が可能で、CVSSスコア6.3の中程度のリスクと評価されている。既に公開されており、実際の攻撃に利用される可能性があるため、早急な対応が求められる。

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証機能の欠落、任意の投稿削除とテンプレート作成が可能に

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...

WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証...

WordfenceはWordPress用プラグイン「Motors - Car Dealer, Classifieds & Listing」のバージョン1.4.57以前に認証機能の欠落による脆弱性を報告した。motors_create_templateとmotors_delete_template関数に権限チェック機能が欠落しており、購読者レベル以上の権限を持つユーザーによる任意の投稿削除やリスティングテンプレートの作成が可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-2649】PHPGurukul Doctor Appointment Systemに深刻な脆弱性、患者データの漏洩リスクが浮上

【CVE-2025-2649】PHPGurukul Doctor Appointment Sy...

医療機関向け予約管理システムPHPGurukul Doctor Appointment System 1.0のcheck-appointment.phpファイルにSQL injection脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。既に攻撃コードが公開されており、患者データの漏洩や改ざんのリスクが高まっている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2649】PHPGurukul Doctor Appointment Sy...

医療機関向け予約管理システムPHPGurukul Doctor Appointment System 1.0のcheck-appointment.phpファイルにSQL injection脆弱性が発見された。この脆弱性は認証不要でリモートから攻撃可能であり、CVSS 3.1で7.3(HIGH)と評価される深刻なものだ。既に攻撃コードが公開されており、患者データの漏洩や改ざんのリスクが高まっている。早急なセキュリティパッチの適用が推奨される。

【CVE-2025-2648】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2648】PHPGurukul Art Gallery Managemen...

PHPGurukulのArt Gallery Management System 1.0において、管理者向けページのview-enquiry-detail.phpファイルにSQLインジェクションの脆弱性が発見された。viewid引数を操作することで攻撃が可能で、CVSS 3.1スコア7.3の高リスク評価となっている。認証不要でリモートから攻撃可能なため、早急な対策が求められる。

【CVE-2025-2647】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、緊急対応が必要に

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

【CVE-2025-2647】PHPGurukul Art Gallery Managemen...

PHPGurukul Art Gallery Management System 1.0のsearch.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5で深刻度は高く、リモートからの攻撃が可能で認証も不要とされている。すでに一般に公開されており早急な対応が必要となっている。CWE-89(SQLインジェクション)とCWE-74(インジェクション)に分類され、情報漏洩やシステムの改ざんのリスクが指摘されている。

MozillaがFirefox v136.0.4を緊急リリース、Chromium類似の重大な脆弱性に対処

MozillaがFirefox v136.0.4を緊急リリース、Chromium類似の重大な脆...

Mozillaは3月27日、デスクトップ向けFirefox v136.0.4を公開し、Windows環境に影響するプロセス間通信の重大な脆弱性に対処した。Chromiumで発見された脆弱性CVE-2025-2783の調査をきっかけに同様の問題が特定され、深刻度は最高レベルのCriticalと評価されている。すでに悪用事例が報告されており、早急なアップデートが推奨される。

MozillaがFirefox v136.0.4を緊急リリース、Chromium類似の重大な脆...

Mozillaは3月27日、デスクトップ向けFirefox v136.0.4を公開し、Windows環境に影響するプロセス間通信の重大な脆弱性に対処した。Chromiumで発見された脆弱性CVE-2025-2783の調査をきっかけに同様の問題が特定され、深刻度は最高レベルのCriticalと評価されている。すでに悪用事例が報告されており、早急なアップデートが推奨される。

GoogleがChrome 134.0.6998.177/178で重要な脆弱性に対処、Windows版の安定性とセキュリティが向上

GoogleがChrome 134.0.6998.177/178で重要な脆弱性に対処、Wind...

GoogleはWebブラウザ「Google Chrome」のWindows向け安定版チャンネルをバージョン134.0.6998.177および134.0.6998.178へアップデートした。Kasperskyのセキュリティチームによって報告されたMojoコンポーネントの脆弱性CVE-2025-2783が修正され、攻撃が確認されているため早急な更新が推奨される。

GoogleがChrome 134.0.6998.177/178で重要な脆弱性に対処、Wind...

GoogleはWebブラウザ「Google Chrome」のWindows向け安定版チャンネルをバージョン134.0.6998.177および134.0.6998.178へアップデートした。Kasperskyのセキュリティチームによって報告されたMojoコンポーネントの脆弱性CVE-2025-2783が修正され、攻撃が確認されているため早急な更新が推奨される。

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを提供開始、CNAPPに基づく包括的なセキュリティ管理を実現

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを提供開始、CNAPPに基づく包...

JBCC株式会社は2025年3月27日、マルチクラウドのIaaS環境におけるセキュリティリスクや脆弱性を横断的に監査・管理する「IaaSセキュリティ監査サービス」の提供開始を発表した。AWS、Azure、GCPなどのマルチクラウド環境に対応し、ガートナー提唱のCNAPPの考え方に即した包括的なセキュリティ管理機能を提供する。設定ミスや脆弱性の発見、不審アクティビティの検知など、効率的なセキュリティ管理を実現する。

JBCCがマルチクラウド対応のIaaSセキュリティ監査サービスを提供開始、CNAPPに基づく包...

JBCC株式会社は2025年3月27日、マルチクラウドのIaaS環境におけるセキュリティリスクや脆弱性を横断的に監査・管理する「IaaSセキュリティ監査サービス」の提供開始を発表した。AWS、Azure、GCPなどのマルチクラウド環境に対応し、ガートナー提唱のCNAPPの考え方に即した包括的なセキュリティ管理機能を提供する。設定ミスや脆弱性の発見、不審アクティビティの検知など、効率的なセキュリティ管理を実現する。

GMOサイバーセキュリティがASMツールをリニューアル、CVSSスコアとPoCタグで脆弱性評価を効率化

GMOサイバーセキュリティがASMツールをリニューアル、CVSSスコアとPoCタグで脆弱性評価...

GMOサイバーセキュリティ byイエラエは、アタックサーフェスマネジメントツール「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断機能をリニューアルした。CVSSスコアによる客観的な危険度評価とPoCタグによる優先順位付けが可能になり、ユーザーは検出された脆弱性への対応をより効率的に進められるようになった。

GMOサイバーセキュリティがASMツールをリニューアル、CVSSスコアとPoCタグで脆弱性評価...

GMOサイバーセキュリティ byイエラエは、アタックサーフェスマネジメントツール「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断機能をリニューアルした。CVSSスコアによる客観的な危険度評価とPoCタグによる優先順位付けが可能になり、ユーザーは検出された脆弱性への対応をより効率的に進められるようになった。

テクマトリックスがdotTEST 2024.2を販売開始、LLM連携機能の拡張とセキュリティ機能の強化で開発効率が向上

テクマトリックスがdotTEST 2024.2を販売開始、LLM連携機能の拡張とセキュリティ機...

テクマトリックス株式会社は2025年3月27日、米Parasoft社のC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2024.2」の販売を開始した。OpenAI REST API互換のLLMプロバイダーサポート追加や差分エディター機能の実装、GitHub Copilot Chat連携、CWE 4.15対応など、開発効率とセキュリティ機能が大幅に強化された。

テクマトリックスがdotTEST 2024.2を販売開始、LLM連携機能の拡張とセキュリティ機...

テクマトリックス株式会社は2025年3月27日、米Parasoft社のC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2024.2」の販売を開始した。OpenAI REST API互換のLLMプロバイダーサポート追加や差分エディター機能の実装、GitHub Copilot Chat連携、CWE 4.15対応など、開発効率とセキュリティ機能が大幅に強化された。

NECネッツエスアイが産業セキュリティ運用サービスを強化、TXOne Stellarの追加でOTデバイス保護を実現

NECネッツエスアイが産業セキュリティ運用サービスを強化、TXOne Stellarの追加でO...

NECネッツエスアイは工場内のセキュリティ対策強化のため、TXOne Networks JapanのエンドポイントソリューションStellarを産業セキュリティ運用サービスに追加した。2025年3月からのサービス開始により、OTネットワークの監視・保護に加え、OTデバイスの保護や不審な外部機器の接続検知が可能になる。製造現場の業務効率化や人手不足解消に向け、2027年までに累計100社の導入を目指す。

NECネッツエスアイが産業セキュリティ運用サービスを強化、TXOne Stellarの追加でO...

NECネッツエスアイは工場内のセキュリティ対策強化のため、TXOne Networks JapanのエンドポイントソリューションStellarを産業セキュリティ運用サービスに追加した。2025年3月からのサービス開始により、OTネットワークの監視・保護に加え、OTデバイスの保護や不審な外部機器の接続検知が可能になる。製造現場の業務効率化や人手不足解消に向け、2027年までに累計100社の導入を目指す。

テクマトリックスがdotTEST 2024.2を発売、LLM連携機能とセキュリティ機能の強化でコード品質向上を支援

テクマトリックスがdotTEST 2024.2を発売、LLM連携機能とセキュリティ機能の強化で...

テクマトリックスは2025年3月27日よりC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2024.2」の販売を開始した。OpenAI REST API互換のLLMプロバイダーサポート追加や差分エディター機能の実装により開発者の修正作業を効率化。さらにCWE ver.4.15対応やPCI DSS、OWASP基準でのセキュリティコンプライアンス評価機能を強化し、高品質なソフトウェア開発を支援する。

テクマトリックスがdotTEST 2024.2を発売、LLM連携機能とセキュリティ機能の強化で...

テクマトリックスは2025年3月27日よりC#/VB.NET対応静的解析・動的解析ツール「dotTEST 2024.2」の販売を開始した。OpenAI REST API互換のLLMプロバイダーサポート追加や差分エディター機能の実装により開発者の修正作業を効率化。さらにCWE ver.4.15対応やPCI DSS、OWASP基準でのセキュリティコンプライアンス評価機能を強化し、高品質なソフトウェア開発を支援する。

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格展開、XDRテクノロジーを活用した包括的な保護を実現

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格...

IDホールディングスの子会社IDヨーロッパが、欧州でのITサービス事業拡大に向けてサイバーセキュリティサービスの提供を開始。BBSecとNewton ITとの連携により、G-MDR、脆弱性診断、Web改ざん検知、TISAX認証支援などの高度なセキュリティサービスを展開。XDRテクノロジーの活用と専門知識の統合により、在欧日系企業の課題解決を支援する体制を構築している。

IDヨーロッパがBBSecとNewton ITと連携し欧州でサイバーセキュリティサービスを本格...

IDホールディングスの子会社IDヨーロッパが、欧州でのITサービス事業拡大に向けてサイバーセキュリティサービスの提供を開始。BBSecとNewton ITとの連携により、G-MDR、脆弱性診断、Web改ざん検知、TISAX認証支援などの高度なセキュリティサービスを展開。XDRテクノロジーの活用と専門知識の統合により、在欧日系企業の課題解決を支援する体制を構築している。

【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクションの脆弱性、チャット機能に影響

【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...

IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。

【CVE-2025-30345】OpenSlides 4.2.5未満にHTMLインジェクション...

IntevationのOpenSlidesにおいて、バージョン4.2.5より前のバージョンでHTMLインジェクションの脆弱性が発見された。chat_group.createアクションでチャットを作成する際、一部のHTML要素のフィルタリングが不完全で、特に削除済みチャットやメッセージでHTMLエンコードが適切に行われていない問題が存在する。CVSSスコアは3.1で深刻度は低く、攻撃には特定の条件が必要となる。

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユーザー存在の判別が可能に

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...

OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。

【CVE-2025-30344】OpenSlides 4.2.5未満にログイン認証の脆弱性、ユ...

OpenSlidesの4.2.5未満のバージョンにおいて、ログイン認証時の応答時間の差異によりユーザーアカウントの存在有無が判別可能になる脆弱性が発見された。パスワードハッシュ化処理の省略により100ミリ秒以上の時間差が発生し、CVSSスコア5.3(MEDIUM)と評価される重要な問題である。早急なバージョンアップデートによる対応が推奨される。

【CVE-2025-30343】OpenSlides 4.2.5未満にディレクトリトラバーサルの脆弱性、意図しないファイル上書きの危険性

【CVE-2025-30343】OpenSlides 4.2.5未満にディレクトリトラバーサル...

MITREが2025年3月21日に公開した情報によると、OpenSlidesの4.2.5より前のバージョンにディレクトリトラバーサル脆弱性が存在することが判明した。この脆弱性により、ミーティング機能でのファイル管理において、悪意のある攻撃者がファイルやフォルダ名に相対パスを指定することで、ZIPアーカイブのダウンロード時に意図しないファイルの上書きが発生する可能性がある。

【CVE-2025-30343】OpenSlides 4.2.5未満にディレクトリトラバーサル...

MITREが2025年3月21日に公開した情報によると、OpenSlidesの4.2.5より前のバージョンにディレクトリトラバーサル脆弱性が存在することが判明した。この脆弱性により、ミーティング機能でのファイル管理において、悪意のある攻撃者がファイルやフォルダ名に相対パスを指定することで、ZIPアーカイブのダウンロード時に意図しないファイルの上書きが発生する可能性がある。

【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性を介したJavaScript実行の危険性が発覚

【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性...

MITREがOpenSlides 4.2.5未満のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性を発見した。モデレーターノートやアジェンダトピックの入力時に表示されるテキストエディターでHTML要素の挿入が可能となっており、リンクの属性を通じてJavaScriptコードを実行できる状態にあることが判明。CVSSスコアは5.4(中程度)と評価されている。

【CVE-2025-30342】OpenSlides 4.2.5未満にXSS脆弱性、リンク属性...

MITREがOpenSlides 4.2.5未満のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性を発見した。モデレーターノートやアジェンダトピックの入力時に表示されるテキストエディターでHTML要素の挿入が可能となっており、リンクの属性を通じてJavaScriptコードを実行できる状態にあることが判明。CVSSスコアは5.4(中程度)と評価されている。

【CVE-2025-29806】Microsoft Edge Chromiumにリモートコード実行の脆弱性、バージョン129.0.2792.52未満に影響

【CVE-2025-29806】Microsoft Edge Chromiumにリモートコード...

MicrosoftはEdge Chromiumブラウザにリモートコード実行の脆弱性(CVE-2025-29806)を発見したと発表した。この脆弱性は攻撃者がネットワーク経由で不正なコードを実行できる可能性があり、バージョン1.0.0から129.0.2792.52未満に影響する。CVSSスコアは6.5でミディアムレベルの深刻度に分類され、ユーザーの操作を必要とするものの、情報の機密性への影響が高いと評価されている。

【CVE-2025-29806】Microsoft Edge Chromiumにリモートコード...

MicrosoftはEdge Chromiumブラウザにリモートコード実行の脆弱性(CVE-2025-29806)を発見したと発表した。この脆弱性は攻撃者がネットワーク経由で不正なコードを実行できる可能性があり、バージョン1.0.0から129.0.2792.52未満に影響する。CVSSスコアは6.5でミディアムレベルの深刻度に分類され、ユーザーの操作を必要とするものの、情報の機密性への影響が高いと評価されている。

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3.1にCSRF脆弱性、中程度のセキュリティリスクが判明

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...

WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。

【CVE-2025-28868】WordPress用プラグインZipList Recipe 3...

WordPressのレシピ管理プラグインZipList Recipe 3.1以前のバージョンにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2025-28868として識別されるこの脆弱性は、特別な権限なしに悪用可能であり、CVSSスコア4.3の中程度のリスクと評価されている。攻撃者はユーザーの操作を必要とするものの、システムに部分的な影響を与える可能性がある。

【CVE-2025-28863】WordPressプラグインDelete Original Image 0.4にCSRF脆弱性が発見、早急な対応が必要に

【CVE-2025-28863】WordPressプラグインDelete Original I...

Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。

【CVE-2025-28863】WordPressプラグインDelete Original I...

Carlos MinattiのWordPressプラグインDelete Original Imageにおいて、バージョン0.4以前に深刻なCSRF脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性で、攻撃者は特権レベルを必要とせずに不正なリクエストを実行可能。Patchstack Allianceの研究者によって発見され、CWE-352に分類される本脆弱性への対応が急務となっている。

【CVE-2025-28861】WP jQuery Persian Datepickerに深刻な脆弱性、CSRFからストアドXSSの危険性が判明

【CVE-2025-28861】WP jQuery Persian Datepickerに深刻...

WordPressプラグインのWP jQuery Persian Datepickerにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSを引き起こす重大な脆弱性が発見された。CVE-2025-28861として識別されたこの脆弱性は、バージョン0.1.0以前に影響を及ぼし、CVSSスコア7.1のHIGHレベルと評価されている。特権不要で攻撃可能な点から、早急な対応が求められている。

【CVE-2025-28861】WP jQuery Persian Datepickerに深刻...

WordPressプラグインのWP jQuery Persian Datepickerにおいて、クロスサイトリクエストフォージェリ(CSRF)からストアドXSSを引き起こす重大な脆弱性が発見された。CVE-2025-28861として識別されたこの脆弱性は、バージョン0.1.0以前に影響を及ぼし、CVSSスコア7.1のHIGHレベルと評価されている。特権不要で攻撃可能な点から、早急な対応が求められている。

【CVE-2025-27933】Mattermostの複数バージョンでチャネル変換制限の脆弱性が発見、セキュリティリスクへの対応が急務に

【CVE-2025-27933】Mattermostの複数バージョンでチャネル変換制限の脆弱性...

Mattermost社が同社のチャットプラットフォームMattermostにおいて重要な脆弱性を発見した。バージョン10.4.x、10.3.x、9.11.xの特定バージョンで、公開チャネルからプライベートチャネルへの変換権限を持つメンバーが、プライベートチャネルを公開チャネルに変換できてしまう問題が確認された。CVSSスコアは5.4(MEDIUM)と評価されており、セキュリティリスクへの早急な対応が必要となっている。

【CVE-2025-27933】Mattermostの複数バージョンでチャネル変換制限の脆弱性...

Mattermost社が同社のチャットプラットフォームMattermostにおいて重要な脆弱性を発見した。バージョン10.4.x、10.3.x、9.11.xの特定バージョンで、公開チャネルからプライベートチャネルへの変換権限を持つメンバーが、プライベートチャネルを公開チャネルに変換できてしまう問題が確認された。CVSSスコアは5.4(MEDIUM)と評価されており、セキュリティリスクへの早急な対応が必要となっている。

【CVE-2025-2783】Google Chromeに深刻な脆弱性、Windows版のサンドボックス回避の問題で緊急アップデートが必要に

【CVE-2025-2783】Google Chromeに深刻な脆弱性、Windows版のサン...

Google社が公開したChrome向けセキュリティアップデートにより、Windows版のMojoコンポーネントに存在する重大な脆弱性が修正された。CVE-2025-2783として識別されるこの脆弱性は、悪意のあるファイルを通じてサンドボックスを回避できる問題で、CVSSスコア8.3と高い深刻度を示している。バージョン134.0.6998.177未満が影響を受けるため、早急なアップデートが推奨される。

【CVE-2025-2783】Google Chromeに深刻な脆弱性、Windows版のサン...

Google社が公開したChrome向けセキュリティアップデートにより、Windows版のMojoコンポーネントに存在する重大な脆弱性が修正された。CVE-2025-2783として識別されるこの脆弱性は、悪意のあるファイルを通じてサンドボックスを回避できる問題で、CVSSスコア8.3と高い深刻度を示している。バージョン134.0.6998.177未満が影響を受けるため、早急なアップデートが推奨される。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性、バージョン2.10.0未満のユーザーに影響

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-27553】Apache Commons VFSにパストラバーサルの脆弱性...

Apache Software Foundationは2025年3月23日、Apache Commons VFSの2.10.0より前のバージョンにパストラバーサル脆弱性が存在することを公開した。FileObject APIのresolveFileメソッドでNameScope.DESCENDENTを使用する際、エンコードされた「..」文字を含むパスによって制限を回避できる問題が発見され、CVSS 3.1で7.5(High)と評価された。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバージョンにXSS脆弱性が発見、ベンダーの対応待ち状態が継続

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2699】GetmeUK ContentTools 1.6.16までのバー...

GetmeUK ContentToolsの画像ハンドラーコンポーネントにおいて、onload引数の処理に関連するクロスサイトスクリプティングの脆弱性が発見された。バージョン1.6.0から1.6.16まで影響を受けるこの問題は、CVSSスコア5.1(MEDIUM)と評価され、既に攻撃手法が公開されている。ベンダーへの早期報告にも関わらず対応が行われていない状況が続いており、セキュリティリスクが継続している。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0.4未満で保護機能のバイパスが可能に

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2691】nossrfパッケージに深刻なSSRF脆弱性、バージョン1.0....

Snykが2025年3月23日、nossrfパッケージのバージョン1.0.4未満にSSRF脆弱性が存在することを公開した。CVE-2025-2691として識別されるこの脆弱性は、CVSS 3.1で8.2、CVSS 4.0で8.8のスコアが付与され、攻撃者がホスト名を操作することでローカルまたは予約済みIPアドレス空間にアクセスし、SSRF保護機能をバイパスすることが可能となっている。

【CVE-2025-2687】PHPGurukul eLearning System 1.0に無制限アップロードの脆弱性、リモート攻撃のリスクが発生

【CVE-2025-2687】PHPGurukul eLearning System 1.0に...

PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。

【CVE-2025-2687】PHPGurukul eLearning System 1.0に...

PHPGurukul eLearning System 1.0の画像ハンドラーコンポーネントに重大な脆弱性が発見された。CVE-2025-2687として識別されたこの脆弱性により、無制限のファイルアップロードが可能となり、リモートからの攻撃実行のリスクが指摘されている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対策が必要とされている。

【CVE-2025-2683】PHPGurukul Bank Locker Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが顕在化

【CVE-2025-2683】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。

【CVE-2025-2683】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のprofile.phpファイルにSQLインジェクションの脆弱性が発見された。mobilenumberパラメータの不適切な処理により、リモートからの攻撃が可能で、CVSSスコアは最大7.5を記録。認証不要で攻撃可能なため、早急な対応が必要となっている。既に攻撃コードが公開されており、データベースの改ざんや情報漏洩のリスクが高まっている。