Tech Insights

【CVE-2025-28864】Builder for Contact Form 7にCSRF脆弱性、WordPress管理者に早急な対応が必要に

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-28864】Builder for Contact Form 7にCSRF...

WordPress用プラグイン「Builder for Contact Form 7 by Webconstruct」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。バージョン1.2.2以前が影響を受けるこの脆弱性は、CVSSスコア4.3のミディアムリスクと評価されている。攻撃の複雑さが低く特権レベルも不要であるため、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対応が必要に

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26706】ZTE GoldenDBに権限昇格の脆弱性、複数バージョンで対...

ZTEのデータベース製品GoldenDBにおいて、不適切な権限管理による権限昇格の脆弱性が発見された。CVE-2025-26706として識別されるこの脆弱性は、バージョン6.1.03から6.1.03.07まで影響を与える。CVSSスコア5.4の中程度の深刻度で、ネットワーク経由での攻撃が可能だが、低レベルの権限が必要となる。現時点で攻撃の自動化は確認されていないものの、早急な対応が推奨される。

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1.03から6.1.03.05まで影響

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、同社のデータベース製品GoldenDBにおいて不適切な権限管理の脆弱性を公開した。この脆弱性はバージョン6.1.03から6.1.03.05に影響し、CVSSスコア6.4で中程度の深刻度と評価されている。ネットワークからの攻撃が可能で攻撃の複雑さは低く、早急な対応が求められる状況だ。

【CVE-2025-26704】ZTE GoldenDBに権限昇格の脆弱性、バージョン6.1....

ZTE Corporationは2025年3月11日、同社のデータベース製品GoldenDBにおいて不適切な権限管理の脆弱性を公開した。この脆弱性はバージョン6.1.03から6.1.03.05に影響し、CVSSスコア6.4で中程度の深刻度と評価されている。ネットワークからの攻撃が可能で攻撃の複雑さは低く、早急な対応が求められる状況だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sale機能での危険性が判明

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-1527】ShopLentorプラグインにXSS脆弱性、Flash Sal...

WordPressプラグイン「ShopLentor」のバージョン3.1.0以前に、格納型DOM-Based XSSの脆弱性が発見された。Flash Sale Countdownモジュールにおける不適切な入力処理により、認証済みユーザーが悪意のあるスクリプトを注入可能。CVSSスコア6.4の中程度の深刻度と評価され、早急なアップデートが推奨される。特にECサイト運営者は注意が必要だ。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アクセスのリスクに対応急ぐ

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-27138】DataEase 2.10.6未満に認証機能の不備、未認証アク...

オープンソースのビジネスインテリジェンス・データ可視化ツールDataEaseにおいて、認証機能に重大な脆弱性が発見された。バージョン2.10.6未満のio.dataease.auth.filter.TokenFilterクラスに存在する認証の不備により、未認証のアクセスが可能となるリスクが指摘されている。CVSSスコア7.7のHigh評価となっており、早急な対応が求められる。開発チームは最新版2.10.6で修正を実施している。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で修正完了

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2025-24974】DataEaseに深刻な脆弱性が発見、バージョン2.10.6で...

オープンソースのBIツールDataEaseにおいて、認証済みユーザーがJDBC接続を通じて任意のファイルを読み取り・デシリアライズできる脆弱性が発見された。CVE-2025-24974として特定されたこの脆弱性は、CVSS v4.0で7.3(High)と評価され、バージョン2.10.6未満のシステムに影響を与える。既知の回避策は存在せず、最新バージョンへのアップデートが推奨される。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクションの脆弱性、認証なしで機密情報漏洩のリスク

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13321】AnalyticsWP 2.0.0以前にSQLインジェクション...

WordPressプラグインのAnalyticsWPにおいて、バージョン2.0.0以前に重大な脆弱性が発見された。handle_get_stats()関数の認証チェックが不十分なため、認証されていない攻撃者がSQLインジェクション攻撃を実行可能な状態となっている。CVSSスコア7.5のハイリスク脆弱性として評価され、データベースからの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHPオブジェクトインジェクション脆弱性が発見、クリティカルレベルの対応が必要に

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2024-13824】CiyaShop WooCommerceテーマに未認証のPHP...

WordfenceはCiyaShop WooCommerceテーマのバージョン4.19.0以前に存在する重大な脆弱性を公開した。未認証のPHPオブジェクトインジェクションを可能とするこの脆弱性は、CVSSスコア9.8のクリティカルと評価されている。他のプラグインやテーマにPOPチェーンが存在する場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる危険性が指摘されている。

【CVE-2019-25222】WordPressプラグインThumbnail carousel sliderに深刻な脆弱性、データベース情報漏洩の危険性

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2019-25222】WordPressプラグインThumbnail carouse...

WordPress用プラグインThumbnail carousel sliderのバージョン1.0.4以前にSQLインジェクションの脆弱性が発見された。この脆弱性はCVE-2019-25222として識別され、CVSSスコア4.9のMedium評価となっている。管理者権限で不正なSQLクエリが実行可能で、データベースからの情報漏洩につながる可能性がある。現在、修正版のバージョン1.0.5が公開されており、早急なアップデートが推奨される。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性、サプライチェーン攻撃の危険性が浮き彫りに

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-30066】tj-actions/changed-filesに深刻な脆弱性...

GitHubActionsで広く使用されているtj-actions/changed-filesにおいて、アクションログから機密情報を読み取ることができる重大な脆弱性が発見された。CVSSスコア8.6を記録し、バージョン46未満のすべてのバージョンが影響を受ける。特に2025年3月14日から15日にかけて、悪意のあるコードを含むコミットが仕込まれており、サプライチェーン攻撃の新たな脅威として注目されている。

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを通じたリモートコード実行が可能に

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...

SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。

【CVE-2025-0731】SMAのSunny Portalに深刻な脆弱性、デモアカウントを...

SMAのwww.sunnyportal.comにおいて、デモアカウントを通じて太陽光発電システムの画像の代わりに.aspxファイルをアップロードできる脆弱性が発見された。CVE-2025-0731として識別されるこの脆弱性は、CVSSスコア6.5(MEDIUM)と評価され、2024年2月19日より前のバージョンに影響を与える。認証不要でリモートからの攻撃が可能であり、ユーザーのセキュリティコンテキスト内でコードが実行される可能性がある。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で機密情報漏洩の脆弱性、範囲外読み取りのリスクに注意

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-30347】Varnish Enterprise 6.0.13r13未満で...

MITREが2025年3月21日に公開したVarnish Enterpriseの脆弱性情報によると、6.0.13r13より前のバージョンにおいて、MSE4 stevedoreオブジェクトに対する範囲リクエストを介した範囲外読み取りの脆弱性が発見された。CVSS 3.1でスコア4.0を記録し中程度のリスクと評価されているが、リモートからの攻撃により機密情報が漏洩する可能性があるため、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリアライゼーションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...

PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。

【CVE-2025-2690】Yiisoft Yii2 2.0.39以前のバージョンにデシリア...

PHPフレームワークYiisoft Yii2の2.0.0から2.0.39までのバージョンに重大な脆弱性が発見された。MockClass.phpのGenerate関数に存在するデシリアライゼーションの問題により、リモートからの攻撃が可能となっている。CVE-2025-2690として登録されたこの脆弱性は、CVSSスコア5.3-6.3(中程度)と評価されており、すでに攻撃コードが公開されているため早急な対応が必要だ。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発見、早急な対応が必要に

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

【CVE-2025-2689】Yii2フレームワークにデシリアライゼーションの重大な脆弱性が発...

Yiisoft社のPHPフレームワークYii2において、symfonyfinderIteratorSortableIterator.phpファイルのgetIterator関数にデシリアライゼーションの脆弱性が発見された。2.0.0から2.0.45までのバージョンが影響を受け、CVSSスコア6.3の中程度の深刻度と評価されている。リモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が求められている。

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便性が向上

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便...

GoogleはChrome OS M134を発表し、手先の不自由なユーザーのための「スローキー」機能を実装。さらにクイックインサートでのGIF挿入機能の追加やアシスタント機能のGeminiへの移行により、操作性とAI支援機能を強化。10件のセキュリティ脆弱性も修正され、より安全で使いやすいOSへと進化している。

GoogleがChrome OS M134を発表、アクセシビリティ機能とGemini対応で利便...

GoogleはChrome OS M134を発表し、手先の不自由なユーザーのための「スローキー」機能を実装。さらにクイックインサートでのGIF挿入機能の追加やアシスタント機能のGeminiへの移行により、操作性とAI支援機能を強化。10件のセキュリティ脆弱性も修正され、より安全で使いやすいOSへと進化している。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリティとメモリ安全性が向上へ

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

GoogleがChromeのフォントライブラリをRustベースのSkrifaに移行、セキュリテ...

GoogleがChromeのフォント処理システムをFreeTypeからRustで開発されたSkrifaに移行することを発表した。Chrome 133からLinux、Android、ChromeOSで全面的に適用され、WindowsとMacではフォールバックとして導入される。メモリ安全性の向上により、セキュリティバグの削減とメンテナンスコストの低減が期待される。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診断で開発セキュリティの効率化を実現

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

GMO Flatt SecurityがAIエージェントTakumiをリリース、自律的な脆弱性診...

GMO Flatt Securityが開発したセキュリティ診断AIエージェント「Takumi」が2025年3月24日にリリースされた。Slackを通じて自律的な脆弱性診断を実行し、実証実験では10日間で10件の0-day脆弱性を発見するなど高い性能を示している。月額70,000円で利用可能で、4月7日以降の利用開始枠の事前登録を受付中。既存のShisho Cloud byGMOの新機能として提供され、単体での利用も可能だ。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深刻な脆弱性、管理者権限で悪用の可能性

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2024-13899】WordPress用Mambo Importerプラグインに深...

WordFenceは2025年2月22日、WordPress用プラグインMambo Importerのバージョン1.0以前に、PHPオブジェクトインジェクションの脆弱性が存在することを公開した。CVSSスコア7.2の高い深刻度を示すこの脆弱性は、認証済みの管理者権限以上のユーザーによって悪用される可能性があり、POPチェーンと組み合わさることで重大な影響をもたらす危険性がある。

【CVE-2025-26967】Events Calendar for GeoDirectoryに深刻な脆弱性、PHP Object Injectionによる攻撃の可能性

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-26967】Events Calendar for GeoDirector...

WordPressプラグインEvents Calendar for GeoDirectoryにPHP Object Injectionの脆弱性が発見された。この脆弱性はバージョン2.3.14以前に影響し、CVSSスコア8.8の高い深刻度を持つ。攻撃者は低い特権レベルでネットワークを介して攻撃を実行可能で、機密性、整合性、可用性のすべてに高い影響を及ぼす可能性がある。Stiofan社は対策版としてバージョン2.3.15をリリースしており、早急なアップデートを推奨している。

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linux環境でユーザーアカウント制御の危険性

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...

ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。

【CVE-2025-27590】Oxidized Webに深刻な認証バイパスの脆弱性、Linu...

ネットワーク構成管理ツールOxidized Webにおいて、バージョン0.15.0未満に重大な脆弱性が発見された。RANCIDマイグレーションページを介して未認証ユーザーがLinuxユーザーアカウントを制御可能な状態となっており、CVSS評価は9.0のクリティカルと判定。速やかな最新版へのアップデートが推奨される。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射型XSS脆弱性、バージョン1.3.3以前のユーザーに影響

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-23526】WordPressプラグインSwift Calendarに反射...

Patchstack OÜが2025年3月3日、WordPressプラグイン「Swift Calendar Online Appointment Scheduling」にクロスサイトスクリプティングの脆弱性を発見したと報告。バージョン1.3.3以前が影響を受け、CVSSスコア7.1のハイリスクと評価された。不適切な入力検証に起因する【CVE-2025-23526】の脆弱性で、攻撃者による悪意のあるスクリプト実行のリスクが指摘されている。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発見、管理者機能に深刻な影響

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1872】101newsバージョン1.0にSQLインジェクション脆弱性が発...

Spanish National Cybersecurity Instituteが101newsバージョン1.0の管理者用ページにSQLインジェクション脆弱性が存在することを公開した。CVSSスコア9.3のCritical評価で、特別な権限なしで攻撃可能。sadminusernameパラメータの問題により、データベースの改ざんや情報漏洩のリスクが指摘されている。早急な対応が求められる状況だ。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での深刻な危険性が指摘される

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-1870】101newsにSQLインジェクション脆弱性が発見、管理画面での...

Spanish National Cybersecurity Instituteは2025年3月3日、コンテンツ管理システム101newsのバージョン1.0に重大なSQLインジェクション脆弱性が存在することを公開した。この脆弱性はCVSS 4.0で深刻度9.3のCriticalと評価されており、管理画面のpagedescriptionパラメータを介して攻撃が可能。認証なしでのシステム侵害やデータベースの改ざんなど、重大な被害につながる可能性が指摘されている。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdragon製品群に広範な影響

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdr...

QualcommのNPUドライバーでUse After Free脆弱性が発見された。CVE-2025-21424として識別されるこの脆弱性は、NPUドライバーAPIの同時呼び出し時にメモリ破損を引き起こす可能性がある。CVSSスコア7.8の高リスク評価で、Snapdragon 8 Gen 3を含む200以上の製品に影響。特にモバイル、自動車向けプラットフォームでの影響が大きく、早急な対策が求められる。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサイトスクリプティングの脆弱性、バージョン1.0.8で修正完了

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-26917】WordPress WP Templataプラグインにクロスサ...

HasThemes社のWordPressプラグイン「WP Templata」のバージョン1.0.7以前において、リフレクテッドクロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、Webページ生成時の入力値の不適切な無害化処理に起因する。HasThemes社はバージョン1.0.8で修正を実施しており、影響を受けるバージョンのユーザーは更新が推奨される。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンからのAPIアクセスが可能な状態に

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2025-25302】Rembg 2.0.57にCORS設定の脆弱性、全オリジンから...

GitHubは2025年3月3日、画像の背景除去ツールRembg 2.0.57以前のバージョンにおいて、CORS設定に重大な脆弱性が存在することを公開した。この脆弱性により、あらゆるWebサイトからRembgサーバーへのクロスサイトリクエストが可能となり、全てのAPIへのアクセスが許可される状態となっている。CVSSスコアは8.7(High)と評価されており、早急な対応が求められる。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱性、投稿者権限で不正スクリプト実行が可能に

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2024-13649】Xpro Addons For Elementorに深刻な脆弱...

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6.7以前に、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能となり、ページにアクセスしたユーザーに対して不正なスクリプトを実行させることができる。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取できる深刻な脆弱性が発見、早急な対応が必要に

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-0177】Javo CoreプラグインにWordPress管理者権限を奪取...

WordPressプラグインのJavo Coreにおいて、バージョン3.0.0.080以前の全バージョンで特権昇格の脆弱性が発見された。この脆弱性により、未認証の攻撃者が新規アカウント登録時に管理者権限を持つアカウントを作成可能となる。CVSSスコアは9.8のクリティカルで、攻撃の複雑さは低く特別な権限も不要なため、早急な対応が求められる。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にクロスサイトスクリプティングの脆弱性、ベンダー未対応で攻撃リスク増大

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-2127】JoomlaUX JUX Real Estate 3.4.0にク...

JoomlaUX JUX Real Estate 3.4.0において、Itemid/jp_yearbuiltパラメータの処理に起因するクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-2127として登録されたこの脆弱性は、リモートから攻撃可能で既に公開されている。CVSSスコア5.3(中程度)と評価される一方、ベンダーは現在まで対応を行っておらず、セキュリティリスクが継続している状況だ。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れが深刻な事態に

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。

【CVE-2025-2130】OpenXE 1.12にXSS脆弱性が発見、ベンダーの対応の遅れ...

OpenXEのチケット編集ページにおいて重大なクロスサイトスクリプティング脆弱性が発見された。バージョン1.12以前の全バージョンに影響を及ぼすこの脆弱性は、Notes引数の不適切な処理に起因している。VulDBによる早期の報告にもかかわらずベンダーからの対応が得られておらず、既にexploit情報が公開されている状態で、早急な対策が求められている。