Tech Insights

【CVE-2025-2584】WebAssembly wabt 1.0.36に重大な脆弱性、ヒープベースのバッファオーバーフローによる攻撃の可能性

【CVE-2025-2584】WebAssembly wabt 1.0.36に重大な脆弱性、ヒ...

WebAssemblyのwabt 1.0.36において、GetReturnCallDropKeepCount関数に重大な脆弱性が発見された。この脆弱性はヒープベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。攻撃の複雑さは高いものの、エクスプロイトコードが公開されており、早急な対策が必要とされている。CVSSスコアは複数のバージョンで評価され、中程度から低程度のリスクと分類されている。

【CVE-2025-2584】WebAssembly wabt 1.0.36に重大な脆弱性、ヒ...

WebAssemblyのwabt 1.0.36において、GetReturnCallDropKeepCount関数に重大な脆弱性が発見された。この脆弱性はヒープベースのバッファオーバーフローを引き起こす可能性があり、リモートからの攻撃が可能。攻撃の複雑さは高いものの、エクスプロイトコードが公開されており、早急な対策が必要とされている。CVSSスコアは複数のバージョンで評価され、中程度から低程度のリスクと分類されている。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトスクリプティングの脆弱性、管理者機能が攻撃対象に

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2583】SimpleMachines SMF 2.1.4にクロスサイトス...

SimpleMachines社のSMF 2.1.4において、ManageNews.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2583として識別されるこの脆弱性は、subject/messageパラメータの操作により攻撃が可能で、CVSSスコア5.1(MEDIUM)と評価されている。脆弱性情報は既に公開されており、早急な対応が必要とされている。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、リモート攻撃のリスクが判明

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-2582】SimpleMachines SMF 2.1.4にXSS脆弱性、...

SimpleMachines SMF 2.1.4のManageAttachments.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。Notice引数の操作によりリモートからの攻撃が可能で、CVSSスコアは4.0で5.1(MEDIUM)を記録。攻撃には特権が必要だが、ユーザーインタラクションも求められ、完全性への影響は限定的。既にexploitが公開されており、早急な対応が求められる。

【CVE-2025-2684】PHPGurukul Bank Locker Management Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが浮上

【CVE-2025-2684】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。

【CVE-2025-2684】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のsearch-report-details.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3(High)の重大な脆弱性であり、リモートからの攻撃が可能で特権も不要とされている。既に一般に公開されており、早急な対応が必要とされる。機密性、完全性、可用性のいずれにも影響を及ぼす可能性がある。

【CVE-2025-2681】PHPGurukul Bank Locker Management Systemに深刻な脆弱性、遠隔からの攻撃が可能に

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2681】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-locker.phpファイルにSQLインジェクションの脆弱性が発見された。CVE-2025-2681として識別されるこの脆弱性は、CVSSスコア7.3のHigh評価を受けており、認証なしで遠隔から攻撃が可能。既に公開されており早急な対策が必要とされている。

【CVE-2025-2682】PHPGurukul Bank Locker Management System 1.0にSQLインジェクションの脆弱性、金融システムのセキュリティに警鐘

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

【CVE-2025-2682】PHPGurukul Bank Locker Managemen...

PHPGurukul Bank Locker Management System 1.0のedit-subadmin.phpファイルにSQLインジェクションの脆弱性が発見された。CVSS 3.1で7.3の高リスク評価を受けており、認証なしでネットワーク経由での攻撃が可能。すでに攻撃手法が公開されており、早急な対応が必要とされている。特に金融関連システムであることから、セキュリティ面での慎重な対応が求められる。

システムサポートが脆弱性管理ツール3製品の提供を開始、ServiceNowとの連携で効率的な運用を実現

システムサポートが脆弱性管理ツール3製品の提供を開始、ServiceNowとの連携で効率的な運...

株式会社システムサポートは2025年3月24日、Tenable、Qualys、SIDfmの3つの脆弱性管理ツールの提供を開始すると発表した。これら3製品の導入支援および販売を展開し、企業のサイバーセキュリティ対策を強化する。あわせてServiceNowとの連携支援サービスも提供開始し、脆弱性管理の効率化を実現する。

システムサポートが脆弱性管理ツール3製品の提供を開始、ServiceNowとの連携で効率的な運...

株式会社システムサポートは2025年3月24日、Tenable、Qualys、SIDfmの3つの脆弱性管理ツールの提供を開始すると発表した。これら3製品の導入支援および販売を展開し、企業のサイバーセキュリティ対策を強化する。あわせてServiceNowとの連携支援サービスも提供開始し、脆弱性管理の効率化を実現する。

【CVE-2024-13647】WordPressプラグインSakolaWP 1.0.8にCSRF脆弱性、試験設定が不正操作の危険性

【CVE-2024-13647】WordPressプラグインSakolaWP 1.0.8にCS...

WordPressプラグイン「School Management System - SakolaWP」のバージョン1.0.8以前に、試験設定の保存と削除機能においてCSRF脆弱性が発見された。この脆弱性により、攻撃者が管理者に細工されたリンクをクリックさせることで、試験設定を不正に操作できる可能性がある。CVSSスコアは4.3(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-13647】WordPressプラグインSakolaWP 1.0.8にCS...

WordPressプラグイン「School Management System - SakolaWP」のバージョン1.0.8以前に、試験設定の保存と削除機能においてCSRF脆弱性が発見された。この脆弱性により、攻撃者が管理者に細工されたリンクをクリックさせることで、試験設定を不正に操作できる可能性がある。CVSSスコアは4.3(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の全ファイル読み取りが可能に

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...

大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。

【CVE-2025-25185】GPT Academic 3.91に重大な脆弱性、サーバー上の...

大規模言語モデル向けの対話型インターフェースを提供するGPT Academicのバージョン3.91以前に、ソフトリンクを悪用した任意のファイル読み取りを可能にする重大な脆弱性が発見された。CVE-2025-25185として識別されるこの脆弱性は、CVSS v3.1で7.5(High)と評価され、特別な権限を必要とせずにネットワーク経由での攻撃が可能となっている。

【CVE-2025-27274】WordPress用プラグインGPX Viewerにパストラバーサル脆弱性、バージョン2.2.11以前に影響

【CVE-2025-27274】WordPress用プラグインGPX Viewerにパストラバ...

Patchstack OÜは2025年3月3日、WordPress用プラグインGPX Viewerにパストラバーサル脆弱性が存在することを公表した。CVE-2025-27274として識別されるこの脆弱性は、バージョン2.2.11以前に影響を与え、CVSS v3.1で4.9(MEDIUM)と評価されている。Patchstack Allianceの研究者により発見され、高い特権レベルが必要だがユーザーの関与は不要とされている。

【CVE-2025-27274】WordPress用プラグインGPX Viewerにパストラバ...

Patchstack OÜは2025年3月3日、WordPress用プラグインGPX Viewerにパストラバーサル脆弱性が存在することを公表した。CVE-2025-27274として識別されるこの脆弱性は、バージョン2.2.11以前に影響を与え、CVSS v3.1で4.9(MEDIUM)と評価されている。Patchstack Allianceの研究者により発見され、高い特権レベルが必要だがユーザーの関与は不要とされている。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に深刻な脆弱性、音声文字起こしデータの削除が可能に

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-1383】Podlove Podcast Publisher 4.2.2に...

WordPressプラグインPodlove Podcast Publisherにおいて、バージョン4.2.2以前に重大な脆弱性が発見された。ajax_transcript_delete関数のnonce検証の不備により、Cross-Site Request Forgery(CSRF)が可能となり、攻撃者は管理者権限を持つユーザーを騙して音声文字起こしデータを削除できる状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が推奨される。

【CVE-2025-2088】PHPGurukul Pre-School Enrollment Systemに重大な脆弱性、SQLインジェクション攻撃のリスクが深刻化

【CVE-2025-2088】PHPGurukul Pre-School Enrollment...

PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。

【CVE-2025-2088】PHPGurukul Pre-School Enrollment...

PHPGurukulのPre-School Enrollment System 1.0において、profile.phpファイルに重大な脆弱性が発見された。fullname、emailid、mobileNumberのパラメータ操作によるSQLインジェクション攻撃が可能で、CVSSスコアは最大7.5を記録。リモートからの攻撃が可能で認証も不要なため、個人情報漏洩のリスクが高く、早急な対応が求められている。

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパスの脆弱性、管理者権限奪取のリスク

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...

WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。

【CVE-2025-1315】WordPressプラグインInWave Jobsに認証バイパス...

WordFenceによって、WordPressのInWave Jobsプラグインにおいて重大な脆弱性が発見された。バージョン3.5.1以前に存在する認証バイパスの脆弱性により、未認証の攻撃者が管理者を含む任意のユーザーのパスワードを変更可能な状態となっている。CVSS評価は9.8(Critical)であり、攻撃の自動化も可能なことから、早急な対策が求められる。

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジェクションの脆弱性、管理者権限で機密情報漏洩の危険性

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジ...

WordfenceによってWordPress用プラグインPost SMTPにSQLインジェクションの脆弱性が発見された。バージョン3.1.2以前が影響を受け、管理者以上の権限を持つ攻撃者がcolumnsパラメータを介してデータベースから機密情報を抽出できる可能性がある。CVSSスコアは4.9(MEDIUM)で、適切なエスケープ処理の欠如が原因とされている。

【CVE-2024-13844】WordPress用Post SMTPプラグインにSQLインジ...

WordfenceによってWordPress用プラグインPost SMTPにSQLインジェクションの脆弱性が発見された。バージョン3.1.2以前が影響を受け、管理者以上の権限を持つ攻撃者がcolumnsパラメータを介してデータベースから機密情報を抽出できる可能性がある。CVSSスコアは4.9(MEDIUM)で、適切なエスケープ処理の欠如が原因とされている。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード保護コンテンツが閲覧可能に

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2025-1322】WP-Recallプラグインに深刻な情報漏洩の脆弱性、パスワード...

WordPressプラグイン「WP-Recall」のバージョン16.26.10以前に重大な脆弱性が発見された。feedショートコードの実装における投稿アクセス制限の不備により、非認証ユーザーがパスワード保護付きの投稿やプライベート投稿、下書きの内容を閲覧可能な状態となっている。CVSSスコアは4.3(MEDIUM)と評価され、早急なアップデートが推奨される。

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱性、クロスサイトリクエストフォージェリによる不正操作の危険性

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱...

Wordfenceは2025年3月8日、WordPress用プラグイン「Wishlist for WooCommerce: Multi Wishlists Per Customer」にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。バージョン3.1.7以前の全バージョンが影響を受け、CVSSスコアは6.1(中)と評価。管理者権限での設定変更や悪意のあるスクリプト実行が可能となる重大な問題で、早急な対応が必要。

【CVE-2024-13774】WooCommerce用Wishlistプラグインに深刻な脆弱...

Wordfenceは2025年3月8日、WordPress用プラグイン「Wishlist for WooCommerce: Multi Wishlists Per Customer」にクロスサイトリクエストフォージェリの脆弱性が存在することを公開した。バージョン3.1.7以前の全バージョンが影響を受け、CVSSスコアは6.1(中)と評価。管理者権限での設定変更や悪意のあるスクリプト実行が可能となる重大な問題で、早急な対応が必要。

【CVE-2024-13924】WordPressプラグインStarter Templates by FancyWPにSSRF脆弱性、認証不要で内部サービスへのアクセスが可能に

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2024-13924】WordPressプラグインStarter Templates...

WordFenceが2025年3月8日、WordPressプラグイン「Starter Templates by FancyWP」にサーバサイドリクエストフォージェリ(SSRF)の脆弱性を発見したと発表。バージョン2.0.0以前のすべてのバージョンが影響を受け、認証なしで内部サービスへのアクセスや情報の改ざんが可能となる。CVSSスコアは5.3(MEDIUM)で、早急な対応が必要な状況となっている。

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意のショートコード実行が可能に

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...

WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。

【CVE-2025-1325】WP-Recallプラグインに重大な認証バイパスの脆弱性、任意の...

WordPressプラグインのWP-Recall – Registration, Profile, Commerce & Moreにおいて、認証バイパスの脆弱性が発見された。この脆弱性は、rcl_preview_postエンドポイントの認証不備により、Subscriber権限以上のユーザーが任意のショートコードを実行可能な状態となっている。CVSSスコアは6.3(Medium)と評価され、バージョン16.26.10以前の全バージョンが影響を受ける。

【CVE-2025-1261】HT Mega – Absolute Addons For Elementor 2.8.2以前にXSS脆弱性、Contributorユーザーからの攻撃に注意

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-1261】HT Mega – Absolute Addons For El...

WordPressプラグイン「HT Mega – Absolute Addons For Elementor」のバージョン2.8.2以前において、DOMベースの格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを挿入可能で、CVE-2024-3307への不完全な修正が原因。CVSS評価は6.4で中程度の深刻度とされている。

【CVE-2025-1287】The Plus Addons for Elementorに深刻な脆弱性、複数のWidgetでXSS攻撃が可能に

【CVE-2025-1287】The Plus Addons for Elementorに深刻...

WordPressプラグイン「The Plus Addons for Elementor」において、Countdown、Syntax Highlighter、Page ScrollのWidgetで格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは6.2.2以前の全てとなっており、早急な対応が推奨される。

【CVE-2025-1287】The Plus Addons for Elementorに深刻...

WordPressプラグイン「The Plus Addons for Elementor」において、Countdown、Syntax Highlighter、Page ScrollのWidgetで格納型クロスサイトスクリプティング脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは6.2.2以前の全てとなっており、早急な対応が推奨される。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識別子制御の脆弱性、リモートからの攻撃が可能に

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2125】Control iD RH iD 25.2.25.0にリソース識...

Control iD RH iD 25.2.25.0のPDFドキュメントハンドラーにおいて、リソース識別子の不適切な制御に関する脆弱性が発見された。CVSSスコアは中程度だがリモートからの攻撃が可能で、特に/v2/report.svc/comprovante_marcacao/?companyId=1のファイルに影響がある。ベンダーへの早期通知も行われたが現時点で応答はなく、セキュリティリスクが継続している状況だ。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻撃の可能性が指摘される

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2025-2153】HDF5 1.14.6にバッファオーバーフロー脆弱性、リモート攻...

HDF5 1.14.6のh5ファイルハンドラコンポーネントにおいて、重大な脆弱性が発見された。H5SM.cファイルのH5SM_delete関数に存在するヒープベースバッファオーバーフローの問題で、リモートからの攻撃が可能。CVSS 3.1では中程度(5.0)と評価されているが、攻撃コードが公開されており、セキュリティリスクが増大している。Chen LihaiとZhang Yuqingによって発見された本脆弱性は、CWE-122とCWE-119に分類されている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、高権限での攻撃に要注意

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2024-57492】redoxOS relibcにサービス拒否攻撃の脆弱性が発見、...

MITREが2025年3月10日、redoxOS relibcのcommit 98aa4ea5以前のバージョンに重大な脆弱性を発見したと発表。CVSSスコア6.0のこの脆弱性は、round_up_to_page機能を悪用したサービス拒否攻撃を可能にする。高権限での攻撃が必要となるものの、システムの安定性に重大な影響を及ぼす可能性があり、早急な対応が求められている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックのリスクが明らかに

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24387】OTRSに認証クッキーの脆弱性が発見、セッションハイジャックの...

OTRS AGは2025年3月10日、OTRSアプリケーションサーバにおいて重大な認証クッキーの脆弱性【CVE-2025-24387】を公開した。OTRS 7.0.Xから2025.xまでの全バージョンが影響を受け、悪意のあるウェブサイトからの不正アクセスによりセッションハイジャックの危険性が指摘されている。CVSSスコアは4.8(MEDIUM)と評価され、早急な対応が求められる事態となっている。

【CVE-2025-24983】Windows Win32 Kernel Subsystemに特権昇格の脆弱性、複数バージョンのWindowsに影響

【CVE-2025-24983】Windows Win32 Kernel Subsystemに...

MicrosoftはWindows Win32 Kernel Subsystemにおいて特権昇格の脆弱性(CVE-2025-24983)を公開した。この脆弱性はUse After Freeの問題により、認証された攻撃者がローカルで特権を昇格させることが可能となる。Windows 10やServer 2008/2012/2016の複数バージョンが影響を受け、CVSSスコア7.0のHigh深刻度と評価されている。

【CVE-2025-24983】Windows Win32 Kernel Subsystemに...

MicrosoftはWindows Win32 Kernel Subsystemにおいて特権昇格の脆弱性(CVE-2025-24983)を公開した。この脆弱性はUse After Freeの問題により、認証された攻撃者がローカルで特権を昇格させることが可能となる。Windows 10やServer 2008/2012/2016の複数バージョンが影響を受け、CVSSスコア7.0のHigh深刻度と評価されている。

【CVE-2025-28857】WordPress Rankchecker.io Integrationにクロスサイトリクエストフォージェリの脆弱性、格納型XSS攻撃のリスクも

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28857】WordPress Rankchecker.io Integr...

Patchstack OÜはWordPress用プラグイン「Rankchecker.io Integration」のバージョン1.0.9以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。CVE-2025-28857として識別されるこの脆弱性は、CVSSスコア7.1の高リスクと評価されており、格納型XSS攻撃が可能になる深刻な問題を抱えている。早急な対策が必要とされる状況だ。

【CVE-2025-28860】WordPress用プラグインGoogle News Editors Picks Feed Generatorに深刻な脆弱性、CSRFからXSSが可能に

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-28860】WordPress用プラグインGoogle News Edit...

PPDPurveyorが開発するGoogle News Editors Picks Feed Generatorにおいて、クロスサイトリクエストフォージェリ(CSRF)を介してストアドXSSが実行可能な深刻な脆弱性が発見された。CVSSスコア7.1を記録し、全バージョンからバージョン2.1までのプラグインに影響を及ぼす。特別な権限を必要とせずにネットワーク経由で攻撃が可能であり、早急な対策が推奨される。

【CVE-2025-28862】WordPress用プラグインComment Date and Gravatar removerにCSRF脆弱性、バージョン1.0以前が影響対象に

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28862】WordPress用プラグインComment Date and...

Patchstack OÜがWordPress用プラグインComment Date and Gravatar removerにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見。CVSSスコア4.3で中程度の深刻度と評価され、バージョン1.0以前が影響を受ける。Patchstack AllianceのNguyen Xuan Chienによって発見されたこの脆弱性は、攻撃者が正規ユーザーの権限を悪用して不正な操作を実行できる可能性がある。

【CVE-2025-28864】Builder for Contact Form 7にCSRF脆弱性、WordPress管理者に早急な対応が必要に

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対応が必要に

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。