Tech Insights

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ機能バイパスの脆弱性、深刻度は中程度と評価

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2025-21401】Microsoft Edge Chromium版にセキュリティ...

Microsoftは2025年2月14日、Microsoft Edge Chromium版にセキュリティ機能をバイパスできる脆弱性(CVE-2025-21401)を公表した。影響を受けるバージョンは1.0.0から133.0.3065.69未満で、深刻度は中程度と評価されている。CWE-601に分類されるこの脆弱性は、攻撃者による意図しないURLへのリダイレクトを可能にする可能性がある。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」に認証バイパスとPHPオブジェクトインジェクションの重大な脆弱性が発見

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13556】WordPressプラグイン「Affiliate Links」...

WordPressプラグイン「Affiliate Links」のバージョン3.0.1以前に重大な脆弱性が発見された。未認証の攻撃者がファイルエクスポートを介してPHPオブジェクトインジェクション攻撃を実行可能で、CVSSスコア8.1の高リスク評価となっている。他のプラグインやテーマとの組み合わせにより、任意のファイル削除や機密データの取得、コード実行などの深刻な影響をもたらす可能性がある。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョンに深刻なXSS脆弱性、Contributor権限で攻撃可能に

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13577】CATS Job Listings 2.0.9以前のバージョン...

WordPressプラグインのCATS Job Listingsにおいて、バージョン2.0.9以前の全バージョンでクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能で、CVSSスコア6.4のミディアムレベルと評価されている。Wordfenceのセキュリティチームにより発見され、2025年2月18日に公開された本脆弱性は、catsoneショートコードの入力値検証とエスケープ処理の不備に起因する。

【CVE-2024-13609】1 Click WordPress Migration Pluginにおける認証不要の情報漏洩脆弱性が発見、バージョン2.1以前に影響

【CVE-2024-13609】1 Click WordPress Migration Plu...

WordPressプラグイン「1 Click WordPress Migration Plugin」にセキュリティ脆弱性が発見された。バージョン2.1以前の全バージョンで、認証されていない攻撃者がバックアップ処理中にユーザー名やパスワードハッシュなどの機密情報を抽出可能な状態となっている。CVE-2024-13609として識別され、CVSSスコア5.9のMedium評価となっている。早急なバージョンアップデートによる対策が推奨される。

【CVE-2024-13609】1 Click WordPress Migration Plu...

WordPressプラグイン「1 Click WordPress Migration Plugin」にセキュリティ脆弱性が発見された。バージョン2.1以前の全バージョンで、認証されていない攻撃者がバックアップ処理中にユーザー名やパスワードハッシュなどの機密情報を抽出可能な状態となっている。CVE-2024-13609として識別され、CVSSスコア5.9のMedium評価となっている。早急なバージョンアップデートによる対策が推奨される。

【CVE-2024-13622】WooCommerce File Uploads Addonに深刻な脆弱性、顧客データの漏洩リスクが浮上

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13622】WooCommerce File Uploads Addonに...

WordPressプラグインのWooCommerce File Uploads Addonにおいて、バージョン1.7.1以前の全バージョンに深刻な脆弱性が発見された。未認証の攻撃者がuploadsディレクトリを通じて顧客のアップロードファイルにアクセス可能となっており、CVSSスコア7.5のHighレベルの危険性が報告されている。早急なセキュリティ対策が求められる状況だ。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証不要で任意のショートコード実行が可能に

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2024-13797】WordPressテーマPressMartに深刻な脆弱性、認証...

WordPressテーマPressMart - Modern Elementor WooCommerce WordPress Themeにおいて、バージョン1.2.16以前のすべてのバージョンに影響を与える重大な脆弱性が発見された。この脆弱性はCVE-2024-13797として登録され、認証なしで任意のショートコードを実行可能であることから、CVSS評価で7.3(High)と高い深刻度が付与されている。

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグイン設定リセットの脆弱性、WordFenceが報告

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグ...

WordFenceは2025年2月18日、WordPress用プラグイン「Mortgage Lead Capture System」のバージョン8.2.10以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、プラグインの設定を不正にリセットすることが可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2025-0796】Mortgage Lead Capture Systemにプラグ...

WordFenceは2025年2月18日、WordPress用プラグイン「Mortgage Lead Capture System」のバージョン8.2.10以前に存在するクロスサイトリクエストフォージェリ(CSRF)の脆弱性を公開した。この脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることで、プラグインの設定を不正にリセットすることが可能となっている。CVSSスコアは4.3(MEDIUM)と評価されている。

【CVE-2024-13522】magayo Lottery Results 2.0.12にCSRF脆弱性、管理者権限での不正実行の危険性

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13522】magayo Lottery Results 2.0.12にC...

WordPressプラグイン「magayo Lottery Results」のバージョン2.0.12以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。管理者権限で悪意のあるスクリプトを実行可能で、CVSS v3.1で6.1(中程度)のスコアが付けられている。Wordfenceが2025年2月18日に公開し、CISAも同日付で確認している。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以前に深刻な脆弱性、未認証状態でフルパス情報が漏洩する危険性

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13535】Actionwear Products Sync 2.3.0以...

WordPressプラグインActionwear Products Syncの全バージョンに脆弱性が発見された。CVE-2024-13535として識別されるこの脆弱性は、composer-setup.phpファイルの設定不備により、未認証状態でWebアプリケーションのフルパス情報が漏洩する可能性がある。CVSSスコア5.3のMedium評価だが、他の脆弱性と組み合わさることで被害が拡大する可能性があり、早急な対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱性、未認証攻撃者による任意スクリプト実行が可能に

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2024-13736】Pure Chat WordPress プラグインにXSS脆弱...

WordPressプラグイン「Pure Chat – Live Chat & More!」のバージョン2.31以前に深刻な反射型クロスサイトスクリプティングの脆弱性が発見された。purechatWidgetNameパラメータを介して未認証の攻撃者が悪意のあるスクリプトを注入可能で、CVSSスコアは6.1(MEDIUM)と評価。早急なアップデートによる対応が推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – YaySMTPに認証なしXSSの脆弱性、早急な対応が必要に

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2025-0918】WordPress用SMTP for SendGrid – Ya...

Wordfenceは2025年2月22日、WordPress用プラグイン「SMTP for SendGrid – YaySMTP」のバージョン1.3.1以前に、認証なしでのクロスサイトスクリプティングの脆弱性が存在することを公開した。CVSSスコア7.2のHigh評価で、攻撃者による任意のスクリプト実行が可能な状態。早急なアップデートが推奨される。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2024-13564】WordPressプラグインRife Elementorに深刻...

WordPressプラグイン「Rife Elementor Extensions & Templates」のバージョン1.2.5以前において、Writing Effect Headlineショートコードに深刻な脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入でき、ページにアクセスしたユーザーの環境で実行される可能性がある。CVSS v3.1で6.4(MEDIUM)と評価されており、早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System 1.0にXSS脆弱性、リモート攻撃のリスクが明らかに

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2025-1589】SourceCodester E-Learning System...

SourceCodester E-Learning System 1.0のregister.phpファイルにおいて、クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.3のミディアム評価で、リモートからの攻撃が可能であり特別な権限も必要としない。この脆弱性はCWE-79およびCWE-94に分類され、情報の整合性に影響を与える可能性がある。早急な対策が求められている。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆弱性、バージョン1.1.1で修正完了

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2025-1642】Benner ModernaNetにリソースインジェクションの脆...

医療システムBenner ModernaNetのバージョン1.1.0以下に重大な脆弱性が発見された。GetImageMedico機能のfooIdパラメータを介したリソースインジェクションの脆弱性で、リモートからの攻撃が可能。CVSS 4.0で5.3(中程度)と評価され、情報漏洩のリスクが指摘されている。対策としてバージョン1.1.1へのアップグレードが推奨される。

【CVE-2025-1067】ArcGIS Pro 3.3/3.4に深刻な脆弱性、悪意のあるコード実行の危険性が明らかに

【CVE-2025-1067】ArcGIS Pro 3.3/3.4に深刻な脆弱性、悪意のあるコ...

Environmental Systems Research Institute社のGISソフトウェアArcGIS Pro 3.3および3.4において、信頼されていない検索パスの脆弱性が発見された。CVE-2025-1067として識別されるこの脆弱性は、ローカルファイルシステムへの書き込み権限を持つ攻撃者が悪意のある実行ファイルを導入し、被害者の操作をトリガーに不正なコマンドを実行できる可能性がある。深刻度はCVSS v3.1で7.3(High)と評価されている。

【CVE-2025-1067】ArcGIS Pro 3.3/3.4に深刻な脆弱性、悪意のあるコ...

Environmental Systems Research Institute社のGISソフトウェアArcGIS Pro 3.3および3.4において、信頼されていない検索パスの脆弱性が発見された。CVE-2025-1067として識別されるこの脆弱性は、ローカルファイルシステムへの書き込み権限を持つ攻撃者が悪意のある実行ファイルを導入し、被害者の操作をトリガーに不正なコマンドを実行できる可能性がある。深刻度はCVSS v3.1で7.3(High)と評価されている。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要な情報漏洩の脆弱性、ユーザーデータ流出のリスクに警戒

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2024-13796】WordPress用プラグインComboBlocksに認証不要...

WordPressプラグイン「Post Grid and Gutenberg Blocks – ComboBlocks」のバージョン2.3.6以前に、認証不要でユーザー情報が漏洩する脆弱性が発見された。REST APIを介して攻撃者がメールアドレスなどの情報を取得可能な状態となっており、CVSSスコア5.3のミディアムレベルの深刻度と評価されている。早急なアップデートによる対応が推奨される。

【CVE-2025-1405】WordPress用Product Catalog Simple 1.7.11以前にXSS脆弱性、Contributor権限で任意スクリプト実行の危険性

【CVE-2025-1405】WordPress用Product Catalog Simple...

WordfenceはWordPress用プラグインProduct Catalog Simple 1.7.11以前のバージョンにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。Contributor以上の権限を持つユーザーがshow_productsショートコードを介して任意のスクリプトを注入可能で、ページアクセス時に実行される危険性がある。CVSS評価は6.4(MEDIUM)であり、早急な対応が推奨される。

【CVE-2025-1405】WordPress用Product Catalog Simple...

WordfenceはWordPress用プラグインProduct Catalog Simple 1.7.11以前のバージョンにおいて、Stored Cross-Site Scripting(XSS)の脆弱性を発見した。Contributor以上の権限を持つユーザーがshow_productsショートコードを介して任意のスクリプトを注入可能で、ページアクセス時に実行される危険性がある。CVSS評価は6.4(MEDIUM)であり、早急な対応が推奨される。

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Product Filtersにクロスサイトスクリプティングの脆弱性、非認証での攻撃に注意

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Prod...

WordPressプラグインのAdvanced AJAX Product Filtersにおいて、バージョン1.6.8.1以前に影響を及ぼすリフレクティブXSSの脆弱性が発見された。CVE-2025-1505として識別されるこの脆弱性は、nonceパラメータの処理における入力値の検証と出力のエスケープの不備に起因しており、非認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。

【CVE-2025-1505】WordPressプラグインAdvanced AJAX Prod...

WordPressプラグインのAdvanced AJAX Product Filtersにおいて、バージョン1.6.8.1以前に影響を及ぼすリフレクティブXSSの脆弱性が発見された。CVE-2025-1505として識別されるこの脆弱性は、nonceパラメータの処理における入力値の検証と出力のエスケープの不備に起因しており、非認証の攻撃者が悪意のあるスクリプトを実行できる可能性がある。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタックベースのバッファオーバーフローによる深刻なリスクが発生

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-1814】Tenda AC6 15.03.05.16に重大な脆弱性、スタッ...

Tenda AC6 15.03.05.16のWifiExtraSet機能に重大な脆弱性が発見された。wpapsk_crypto引数の操作によってスタックベースのバッファオーバーフローが発生する可能性があり、CVSSスコアは8.7(High)を記録。リモートからの攻撃が可能で、すでにエクスプロイトコードが公開されている状況だ。早急なセキュリティアップデートの適用が推奨される。

【CVE-2025-1853】Tenda AC8ルーターに重大な脆弱性、リモート攻撃の可能性で早急な対応が必要に

【CVE-2025-1853】Tenda AC8ルーターに重大な脆弱性、リモート攻撃の可能性で...

Tenda AC8ルーターのバージョン16.03.34.06においてスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコア8.7-8.8の高リスク評価となっており、リモートからの攻撃が可能な状態。パラメーターハンドラーのsub_49E098関数に存在する脆弱性は既に公開されており、早急な対策が求められている。VulDBユーザーのRaining101氏により報告され、CVE-2025-1853として識別されている。

【CVE-2025-1853】Tenda AC8ルーターに重大な脆弱性、リモート攻撃の可能性で...

Tenda AC8ルーターのバージョン16.03.34.06においてスタックベースバッファオーバーフローの脆弱性が発見された。CVSSスコア8.7-8.8の高リスク評価となっており、リモートからの攻撃が可能な状態。パラメーターハンドラーのsub_49E098関数に存在する脆弱性は既に公開されており、早急な対策が求められている。VulDBユーザーのRaining101氏により報告され、CVE-2025-1853として識別されている。

【CVE-2025-1905】SourceCodester Employee Management System 1.0にXSS脆弱性、従業員情報の改ざんリスクが浮上

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

【CVE-2025-1905】SourceCodester Employee Manageme...

セキュリティ企業VulDBが2025年3月4日、SourceCodester Employee Management System 1.0のemployee.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。Full Name項目の操作により不正なスクリプトが実行可能で、CVSSスコア5.1(MEDIUM)と評価されている。リモートからの攻撃が可能で一般に公開済みであり、早急な対策が必要とされている。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮き彫りに

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

Blood Bank System 1.0にXSS脆弱性、医療システムのセキュリティリスクが浮...

code-projects Blood Bank System 1.0において重大な脆弱性が発見された。A+.phpファイル内のAvailibility引数の処理に起因するクロスサイトスクリプティングの脆弱性で、CVSSスコア5.1のMedium評価とされている。医療システムのセキュリティリスクとして重要な警鐘を鳴らすものとなった。

【CVE-2025-22835】OpenHarmony v5.0.2のArkcompiler Ets Runtimeに脆弱性、プリインストールアプリを介した攻撃の可能性

【CVE-2025-22835】OpenHarmony v5.0.2のArkcompiler ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおける範囲外書き込みの脆弱性(CVE-2025-22835)を公開した。v5.0.2以前のバージョンに影響し、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVSSスコアは3.8(Low)で、制限されたシナリオでのみ攻撃可能だが、早急なアップデートが推奨される。

【CVE-2025-22835】OpenHarmony v5.0.2のArkcompiler ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにおける範囲外書き込みの脆弱性(CVE-2025-22835)を公開した。v5.0.2以前のバージョンに影響し、ローカル攻撃者がプリインストールアプリを通じて任意のコード実行が可能となる。CVSSスコアは3.8(Low)で、制限されたシナリオでのみ攻撃可能だが、早急なアップデートが推奨される。

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファオーバーリード脆弱性が発見、サービス妨害の危険性

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにバッファオーバーリード脆弱性が存在することを公表した。v4.1.0からv5.0.2までのバージョンに影響を与えるこの脆弱性は、ローカル攻撃者によってサービス妨害攻撃に悪用される可能性がある。CVSSスコアは3.1で、攻撃の複雑さは低く、特権は必要とされるものの、ユーザーの操作は不要とされている。

【CVE-2025-22443】OpenHarmony v5.0.2以前のバージョンでバッファ...

OpenHarmonyは2025年3月4日、Arkcompiler Ets Runtimeにバッファオーバーリード脆弱性が存在することを公表した。v4.1.0からv5.0.2までのバージョンに影響を与えるこの脆弱性は、ローカル攻撃者によってサービス妨害攻撃に悪用される可能性がある。CVSSスコアは3.1で、攻撃の複雑さは低く、特権は必要とされるものの、ユーザーの操作は不要とされている。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃のリスクで対策が急務に

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1891】shishuocms 1.1でCSRF脆弱性を発見、リモート攻撃...

コンテンツ管理システムshishuocms 1.1にクロスサイトリクエストフォージェリの脆弱性が発見された。CVE-2025-1891として登録されたこの脆弱性は、リモートからの攻撃が可能で、CVSS 4.0で中程度の深刻度と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-1306】Newscrunch 1.8.4以前のWordPressテーマに深刻な脆弱性、管理者権限奪取の危険性

【CVE-2025-1306】Newscrunch 1.8.4以前のWordPressテーマに...

WordPressテーマNewscrunchにおいて、CVSSスコア8.8の深刻な脆弱性が発見された。この脆弱性は1.8.4以前のバージョンに存在し、newscrunch_install_and_activate_plugin()関数でのnonce検証が不適切なことが原因。攻撃者は管理者に悪意のあるリンクをクリックさせることで、認証なしに任意のファイルをアップロードし、最終的に管理者権限を奪取できる可能性がある。

【CVE-2025-1306】Newscrunch 1.8.4以前のWordPressテーマに...

WordPressテーマNewscrunchにおいて、CVSSスコア8.8の深刻な脆弱性が発見された。この脆弱性は1.8.4以前のバージョンに存在し、newscrunch_install_and_activate_plugin()関数でのnonce検証が不適切なことが原因。攻撃者は管理者に悪意のあるリンクをクリックさせることで、認証なしに任意のファイルをアップロードし、最終的に管理者権限を奪取できる可能性がある。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱性、リモートからの攻撃に注意

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-1892】shishuocms 1.1にクロスサイトスクリプティングの脆弱...

CMSプラットフォームshishuocms 1.1のディレクトリ削除機能に深刻な脆弱性が発見された。CVE-2025-1892として登録されたこの脆弱性は、folderName引数の操作によりクロスサイトスクリプティング攻撃が可能となる。CVSSスコア4.8で評価され、既に公開されているため早急な対応が必要。特権アカウントを狙った攻撃の可能性が指摘されている。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆弱性、バージョン3.7.1で修正完了

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2025-27500】OpenZitiのziti-consoleに認証回避とXSS脆...

GitHubは2025年3月3日、OpenZitiのziti-consoleに認証回避とクロスサイトスクリプティングの脆弱性が存在することを公開した。管理パネルの/api/uploadエンドポイントに認証なしでアクセスでき、アップロードされたファイルがURLを介して利用可能になることで、悪意のあるコードを含むファイルがユーザーのブラウザで実行される可能性がある。この脆弱性は3.7.1で修正された。

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のメディアライブラリモジュールに権限確認の脆弱性が存在することを公開した。CVE-2024-58049として識別されるこの脆弱性は、CVSSスコア5.0(MEDIUM)に分類され、認可されていないアクターへの機密情報の露出(CWE-200)につながる可能性がある。攻撃には低特権レベルとユーザー操作が必要だが、適切な対策が推奨される。

【CVE-2024-58049】HarmonyOS 5.0.0のメディアライブラリに権限確認の...

Huawei Technologiesは2025年3月4日、HarmonyOS 5.0.0のメディアライブラリモジュールに権限確認の脆弱性が存在することを公開した。CVE-2024-58049として識別されるこの脆弱性は、CVSSスコア5.0(MEDIUM)に分類され、認可されていないアクターへの機密情報の露出(CWE-200)につながる可能性がある。攻撃には低特権レベルとユーザー操作が必要だが、適切な対策が推奨される。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆弱性、プリインストールアプリを介した攻撃の可能性

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。

【CVE-2025-21084】OpenHarmony v5.0.2でNULLポインタ参照の脆...

OpenHarmonyは2025年3月4日、v5.0.2およびそれ以前のバージョンにおいて、Arkcompiler Ets RuntimeのNULLポインタ参照の脆弱性(CVE-2025-21084)を公開した。この脆弱性はプリインストールアプリを通じて任意のコード実行が可能となるもので、CVSSスコアは3.8のLowレベルと評価されている。影響を受けるバージョンはv4.1.0からv5.0.2までとなっている。