Tech Insights

【CVE-2024-13408】Post Grid, Slider & Carousel Ultimate 1.6.10にファイル包含の脆弱性、貢献者権限で任意のファイル実行が可能に

【CVE-2024-13408】Post Grid, Slider & Carousel Ul...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」の1.6.10以前のバージョンに深刻な脆弱性が発見された。CVE-2024-13408として識別されるこの脆弱性は、貢献者以上の権限があれば「pgcu」ショートコードの「theme」属性を介して任意のファイルを実行可能。CVSS v3.1で7.5の評価を受け、アクセス制御のバイパスや機密データの取得などのリスクがある。

【CVE-2024-13408】Post Grid, Slider & Carousel Ul...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」の1.6.10以前のバージョンに深刻な脆弱性が発見された。CVE-2024-13408として識別されるこの脆弱性は、貢献者以上の権限があれば「pgcu」ショートコードの「theme」属性を介して任意のファイルを実行可能。CVSS v3.1で7.5の評価を受け、アクセス制御のバイパスや機密データの取得などのリスクがある。

【CVE-2024-13409】WordPress用プラグインPost Grid, Slider & Carousel Ultimateに深刻な脆弱性、任意のファイル実行が可能に

【CVE-2024-13409】WordPress用プラグインPost Grid, Slide...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」のバージョン1.6.10以前において、ローカルファイルインクルージョンの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のファイルを実行可能で、アクセス制御のバイパスや機密データの取得につながる可能性がある。CVSSスコア7.5の高リスク脆弱性として評価されている。

【CVE-2024-13409】WordPress用プラグインPost Grid, Slide...

WordPressプラグイン「Post Grid, Slider & Carousel Ultimate」のバージョン1.6.10以前において、ローカルファイルインクルージョンの脆弱性が発見された。Contributor以上の権限を持つ攻撃者が任意のファイルを実行可能で、アクセス制御のバイパスや機密データの取得につながる可能性がある。CVSSスコア7.5の高リスク脆弱性として評価されている。

【CVE-2025-1020】Firefox 134とThunderbird 134にメモリ安全性の脆弱性、任意コード実行のリスクで緊急アップデートを推奨

【CVE-2025-1020】Firefox 134とThunderbird 134にメモリ安...

Mozillaは2025年2月4日、Firefox 134およびThunderbird 134において深刻なメモリ安全性の脆弱性を確認したと発表した。CVE-2025-1020として識別されるこの脆弱性は、CVSS v3.1で最高レベルの9.8を記録し、メモリ破損を通じて任意のコード実行が可能となる危険性が指摘されている。すでにFirefox 135とThunderbird 135で修正が完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-1020】Firefox 134とThunderbird 134にメモリ安...

Mozillaは2025年2月4日、Firefox 134およびThunderbird 134において深刻なメモリ安全性の脆弱性を確認したと発表した。CVE-2025-1020として識別されるこの脆弱性は、CVSS v3.1で最高レベルの9.8を記録し、メモリ破損を通じて任意のコード実行が可能となる危険性が指摘されている。すでにFirefox 135とThunderbird 135で修正が完了しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2025-20634】MediaTekのModemに深刻な脆弱性、不正な基地局からの攻撃が可能に

【CVE-2025-20634】MediaTekのModemに深刻な脆弱性、不正な基地局からの...

MediaTek社のModemに深刻な脆弱性が発見された。この脆弱性【CVE-2025-20634】は境界値チェックの欠如によるバッファオーバーフローの問題で、攻撃者が制御する不正な基地局に接続した際に任意のコード実行が可能になる。影響を受けるチップセットは多岐にわたり、CVSS深刻度は9.8と非常に高い。特別な権限やユーザーの操作を必要としないため、早急な対応が求められる。

【CVE-2025-20634】MediaTekのModemに深刻な脆弱性、不正な基地局からの...

MediaTek社のModemに深刻な脆弱性が発見された。この脆弱性【CVE-2025-20634】は境界値チェックの欠如によるバッファオーバーフローの問題で、攻撃者が制御する不正な基地局に接続した際に任意のコード実行が可能になる。影響を受けるチップセットは多岐にわたり、CVSS深刻度は9.8と非常に高い。特別な権限やユーザーの操作を必要としないため、早急な対応が求められる。

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12.0から15.0の広範な製品に影響

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12...

MediaTekは2025年2月3日、DAにおける境界値チェックの欠如による権限昇格の脆弱性【CVE-2025-20641】を公開した。物理アクセスを持つ攻撃者によって追加の実行権限なしで権限昇格が可能となる重大な脆弱性で、Android 12.0から15.0を搭載したMT6739からMT8893までの幅広い製品に影響する。CVSSスコアは7.3(High)と評価されており、早急な対応が求められる。

【CVE-2025-20641】MediaTekのDAに権限昇格の脆弱性、Android 12...

MediaTekは2025年2月3日、DAにおける境界値チェックの欠如による権限昇格の脆弱性【CVE-2025-20641】を公開した。物理アクセスを持つ攻撃者によって追加の実行権限なしで権限昇格が可能となる重大な脆弱性で、Android 12.0から15.0を搭載したMT6739からMT8893までの幅広い製品に影響する。CVSSスコアは7.3(High)と評価されており、早急な対応が求められる。

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な脆弱性を公開、複数バージョンで更新が必要に

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な...

MicrosoftはVisual StudioとNETに影響を及ぼすリモートコード実行の脆弱性を公開した。Visual Studio 2017から2022の複数バージョンおよびNET 8.0と9.0に影響があり、CVSSスコア7.5と高い深刻度を示している。Integer OverflowとHeap-based Buffer Overflowの2つの脆弱性タイプに分類され、早急なアップデートが推奨される。

【CVE-2025-21172】MicrosoftがVisual StudioとNETの重大な...

MicrosoftはVisual StudioとNETに影響を及ぼすリモートコード実行の脆弱性を公開した。Visual Studio 2017から2022の複数バージョンおよびNET 8.0と9.0に影響があり、CVSSスコア7.5と高い深刻度を示している。Integer OverflowとHeap-based Buffer Overflowの2つの脆弱性タイプに分類され、早急なアップデートが推奨される。

【CVE-2025-21187】Microsoft Power Automateにリモートコード実行の脆弱性、早急なアップデートが必要に

【CVE-2025-21187】Microsoft Power Automateにリモートコー...

Microsoftは2025年1月14日、Power Automate for Desktopにリモートコード実行の脆弱性【CVE-2025-21187】を発見したと発表した。影響を受けるバージョンは1.0.0.0から2.52.62.25009未満で、CVSSスコアは7.8のHigh深刻度に分類される。攻撃者によるコード実行を防ぐため、影響を受けるユーザーは速やかなアップデートが推奨される。

【CVE-2025-21187】Microsoft Power Automateにリモートコー...

Microsoftは2025年1月14日、Power Automate for Desktopにリモートコード実行の脆弱性【CVE-2025-21187】を発見したと発表した。影響を受けるバージョンは1.0.0.0から2.52.62.25009未満で、CVSSスコアは7.8のHigh深刻度に分類される。攻撃者によるコード実行を防ぐため、影響を受けるユーザーは速やかなアップデートが推奨される。

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急な対応が必要に

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急...

MicrosoftはWindows Security Account Manager(SAM)におけるサービス拒否の脆弱性【CVE-2025-21313】を公開した。Windows Server 2025、Windows Server 2022(23H2)、Windows 11 Version 24H2が影響を受け、認証されたローカルユーザーによる攻撃が可能。CVSSスコアは6.5(中程度)で、既に修正プログラムが提供されている。早急なアップデートの適用が推奨される。

【CVE-2025-21313】WindowsのSAMに脆弱性、サービス拒否攻撃のリスクで早急...

MicrosoftはWindows Security Account Manager(SAM)におけるサービス拒否の脆弱性【CVE-2025-21313】を公開した。Windows Server 2025、Windows Server 2022(23H2)、Windows 11 Version 24H2が影響を受け、認証されたローカルユーザーによる攻撃が可能。CVSSスコアは6.5(中程度)で、既に修正プログラムが提供されている。早急なアップデートの適用が推奨される。

【CVE-2025-24114】AppleがmacOSの権限に関する重要な脆弱性を修正、ファイルシステムの保護機能が強化

【CVE-2025-24114】AppleがmacOSの権限に関する重要な脆弱性を修正、ファイ...

Appleは2025年1月27日、macOSの複数バージョンで発見された権限に関する重要な脆弱性【CVE-2025-24114】に対するセキュリティアップデートを公開した。この脆弱性は保護されたファイルシステムの一部をアプリケーションが改変できてしまう問題で、CVSSスコア5.5(Medium)と評価されている。macOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正が実施され、権限に関する追加の制限が実装された。

【CVE-2025-24114】AppleがmacOSの権限に関する重要な脆弱性を修正、ファイ...

Appleは2025年1月27日、macOSの複数バージョンで発見された権限に関する重要な脆弱性【CVE-2025-24114】に対するセキュリティアップデートを公開した。この脆弱性は保護されたファイルシステムの一部をアプリケーションが改変できてしまう問題で、CVSSスコア5.5(Medium)と評価されている。macOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正が実施され、権限に関する追加の制限が実装された。

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱性、アプリケーション異常終了のリスクに対処

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24120】macOSの複数バージョンでオブジェクトライフタイム管理の脆弱...

Appleは2025年1月27日、macOSの複数バージョンにおいてオブジェクトライフタイム管理に関する脆弱性を公開した。CVSSスコア7.5の高リスク脆弱性として評価され、攻撃者によるアプリケーションの予期せぬ終了を引き起こす可能性がある。この問題はmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3で修正され、ユーザーには最新のセキュリティアップデートの適用が推奨されている。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOSでアップデート対応開始

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

【CVE-2025-24129】Apple製品に型混同の脆弱性、visionOSなど複数のOS...

Appleは2025年1月27日、同社の複数のOSに影響を与える型混同の脆弱性CVE-2025-24129を修正するセキュリティアップデートを公開した。この脆弱性はCVSS v3.1で深刻度7.5(High)と評価され、リモートからの攻撃によりアプリケーションの予期せぬ終了を引き起こす可能性がある。visionOS 2.3、iOS/iPadOS 18.3など複数のOSで修正が実施された。

【CVE-2025-24478】Rockwell AutomationのGuardLogix製品にDoS脆弱性、産業用制御システムのセキュリティリスクが深刻化

【CVE-2025-24478】Rockwell AutomationのGuardLogix製...

Rockwell AutomationはGuardLogix 5580 SIL 3およびCompact GuardLogix 5380 SIL 3製品におけるDoS脆弱性を公開した。CVE-2025-24478として識別されるこの脆弱性は、非特権ユーザーによるリモートからの攻撃で重大な障害を引き起こす可能性がある。影響を受けるバージョンは33.011から35.011まで5つが確認され、CVSSスコア7.1と高い深刻度を示している。

【CVE-2025-24478】Rockwell AutomationのGuardLogix製...

Rockwell AutomationはGuardLogix 5580 SIL 3およびCompact GuardLogix 5380 SIL 3製品におけるDoS脆弱性を公開した。CVE-2025-24478として識別されるこの脆弱性は、非特権ユーザーによるリモートからの攻撃で重大な障害を引き起こす可能性がある。影響を受けるバージョンは33.011から35.011まで5つが確認され、CVSSスコア7.1と高い深刻度を示している。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性、NULLポインタ参照の危険性が浮上

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21669】Linuxカーネルのvsock/virtio機能に重大な脆弱性...

kernel.orgがLinuxカーネルのvsock/virtio機能における重大な脆弱性を公開した。トランスポートの変更時にパケットが適切に破棄されないことでNULLポインタ参照が発生し、システムの安定性が損なわれる可能性がある。Linux 5.5以降のバージョンが影響を受けており、複数のバージョン向けに修正パッチが提供されている。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポインタ参照によるシステムクラッシュの危険性

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21670】Linuxカーネルのvsock/bpf脆弱性が発見、NULLポ...

kernel.orgが2025年1月31日、Linuxカーネルのvsock/bpfモジュールに深刻な脆弱性を発見したことを公表した。この脆弱性は【CVE-2025-21670】として識別され、トランスポートが未割り当ての状態で特定の関数を呼び出すとカーネルクラッシュが発生する可能性がある。Linux 6.4から6.6.73までと6.12.10以前のバージョンが影響を受け、6.6.74以降、6.12.11以降、6.13で修正された。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-deref対策で安定性向上へ

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21666】Linuxカーネルのvsock脆弱性、null-ptr-der...

Linuxカーネルの開発チームが、vsockにおけるnull-ptr-derefの脆弱性に対する修正パッチを公開した。この修正により、vsockソケットがトランスポートから切り離された状態での異常動作を防止し、警告メカニズムの実装によって開発者のデバッグ作業を効率化。Linux 5.5以降の複数のバージョンに適用され、システムの安定性と信頼性の向上に貢献している。

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライアントの安定性が向上へ

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライ...

Linuxカーネルの開発チームが、SMBクライアントにおける重要な脆弱性CVE-2025-21673の修正を公開した。この問題は、サーバーシャットダウン時にcifs_put_tcp_session関数内でTCP_Server_Infoのホスト名が二重に解放される脆弱性であり、システムの不安定化やクラッシュを引き起こす可能性がある。影響を受けるバージョンは5.16以降で、6.6.74以降および6.12.11以降では既に対策が実施されている。

【CVE-2025-21673】Linuxカーネルのメモリ二重解放の脆弱性を修正、SMBクライ...

Linuxカーネルの開発チームが、SMBクライアントにおける重要な脆弱性CVE-2025-21673の修正を公開した。この問題は、サーバーシャットダウン時にcifs_put_tcp_session関数内でTCP_Server_Infoのホスト名が二重に解放される脆弱性であり、システムの不安定化やクラッシュを引き起こす可能性がある。影響を受けるバージョンは5.16以降で、6.6.74以降および6.12.11以降では既に対策が実施されている。

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇格のリスクで早急な対応が必要に

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇...

Dellは2025年1月15日、Display Managerのバージョン2.3.2.18未満に存在する重要な脆弱性情報を公開した。Time-of-check Time-of-use Race Conditionの問題により、ローカルアクセス権を持つ攻撃者によるコード実行や特権昇格のリスクが指摘されている。CVSSスコア6.7のミディアムレベルと評価されており、機密性、整合性、可用性のすべてに高レベルの影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2025-22394】Dell Display Managerに深刻な脆弱性、特権昇...

Dellは2025年1月15日、Display Managerのバージョン2.3.2.18未満に存在する重要な脆弱性情報を公開した。Time-of-check Time-of-use Race Conditionの問題により、ローカルアクセス権を持つ攻撃者によるコード実行や特権昇格のリスクが指摘されている。CVSSスコア6.7のミディアムレベルと評価されており、機密性、整合性、可用性のすべてに高レベルの影響を及ぼす可能性があるため、早急なアップデートが推奨される。

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任意のファイル削除のリスクが発覚

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任...

Dell EMCは2025年1月15日、Dell Display Managerのバージョン2.3.2.20未満に競合状態の脆弱性が存在することを公表した。CVE-2025-21101として識別されるこの脆弱性は、インストール時に悪意のあるローカルユーザーによって任意のフォルダやファイルの削除が可能になる状態であることが判明している。CVSSスコアは6.6(Medium)で、攻撃元区分はローカル、攻撃の複雑さは低いとされている。

【CVE-2025-21101】Dell Display Managerに競合状態の脆弱性、任...

Dell EMCは2025年1月15日、Dell Display Managerのバージョン2.3.2.20未満に競合状態の脆弱性が存在することを公表した。CVE-2025-21101として識別されるこの脆弱性は、インストール時に悪意のあるローカルユーザーによって任意のフォルダやファイルの削除が可能になる状態であることが判明している。CVSSスコアは6.6(Medium)で、攻撃元区分はローカル、攻撃の複雑さは低いとされている。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機能のクラッシュ問題に対処

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2025-21675】LinuxカーネルのMLX5ドライバーに重大な脆弱性、LAG機...

Linuxカーネルの開発チームは2025年1月31日、MLX5ネットワークドライバーの重大な脆弱性を修正した。この問題はポート選択構造体のクリア処理の不備により、LAGデファイナーの二重破棄でカーネルクラッシュを引き起こす可能性があった。影響を受けるのはLinux 5.16以降のバージョンで、6.1.127、6.6.74、6.12.11以降のバージョンで修正が適用された。

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が発覚、複数のバージョンに影響

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が...

2025年1月31日、Linux kernelの開発チームがIPsecトンネルモードにおける重大な依存性の問題を公開した。この問題はデバッグカーネルでIPsecパケットオフロードを有効化する際に発生し、特にSOFTIRQ-safeからSOFTIRQ-unsafeへのロック順序の依存性に起因している。影響を受けるバージョンはLinux 6.4以降で、すでに複数の修正パッチが提供されている。

【CVE-2025-21674】Linux kernelでIPsecトンネルの依存性警告問題が...

2025年1月31日、Linux kernelの開発チームがIPsecトンネルモードにおける重大な依存性の問題を公開した。この問題はデバッグカーネルでIPsecパケットオフロードを有効化する際に発生し、特にSOFTIRQ-safeからSOFTIRQ-unsafeへのロック順序の依存性に起因している。影響を受けるバージョンはLinux 6.4以降で、すでに複数の修正パッチが提供されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの脆弱性が発見、プロフィール画像機能での任意コード実行が可能に

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-57386】Wallos v.2.41.0でクロスサイトスクリプティングの...

MITREが2025年1月23日に公開したWallos v.2.41.0の脆弱性情報によると、プロフィール画像機能を介してクロスサイトスクリプティング攻撃が可能な状態であることが判明した。CVSSスコア6.1のミディアムレベルと評価され、攻撃者は特別な権限なしでネットワーク経由での攻撃が可能。CISAの分析では自動化された攻撃の可能性も指摘されている。

【CVE-2024-13234】Product Table by WBWにSQLインジェクションの脆弱性、未認証での攻撃が可能に

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13234】Product Table by WBWにSQLインジェクショ...

WordPressプラグインのProduct Table by WBWにおいて、バージョン2.1.2以前の全バージョンでSQLインジェクションの脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性であり、未認証の攻撃者がデータベースから機密情報を抽出できる可能性がある。「additionalCondition」パラメータに対する不十分なエスケープ処理が原因で、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にXSS脆弱性、貢献者権限で悪用の可能性

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認可機能の欠落による脆弱性、Subscriber権限での不正アクセスが可能に

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13368】WordPressプラグインYouzify 1.3.2以前に認...

WordPressプラグイン「Youzify」において、認可機能の欠落による深刻な脆弱性が発見された。バージョン1.3.2以前の全バージョンが影響を受け、Subscriber以上の権限を持つユーザーが任意のサイトオプションを変更可能な状態となっている。CVSSスコアは4.3(MEDIUM)で、開発者による修正作業が進められている。早急なアップデートが推奨される。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4にSSRF脆弱性、管理者権限で任意のリクエストが可能に

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13450】Contact Form by Bit Form 2.17.4...

WordPressプラグインのContact Form by Bit Formにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Webhooks統合機能を悪用することで、管理者以上の権限を持つ攻撃者が任意のWebリクエストを送信可能。マルチサイト環境でも悪用され、内部サービスの情報照会や改変のリスクがある。影響を受けるのはバージョン2.17.4以前のすべてのバージョンとなっている。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報アクセスが可能に

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13562】Import WPプラグインに重大な脆弱性、未認証での機密情報...

WordPressプラグイン「Import WP」のバージョン2.14.5以前に重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がwp-content/uploadsディレクトリを通じて機密情報にアクセス可能となる。CVSSスコア7.5のHighレベルと評価され、早急なアップデートが推奨される。影響を受けるのは2.14.5以前のすべてのバージョンであり、ユーザーデータやローカルファイルが露出するリスクがある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにXSS脆弱性が発見、LP Instructor権限で任意のスクリプト実行が可能に

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13599】LearnPress WordPress LMSプラグインにX...

WordfenceがWordPress向けLMSプラグインLearnPressにおいて、バージョン4.2.7.5以前に影響するストアドクロスサイトスクリプティング脆弱性を発見した。この脆弱性は【CVE-2024-13599】として識別され、LP Instructor以上の権限を持つユーザーが悪意のあるスクリプトを含むレッスン名を作成することで、ページにアクセスした他のユーザーの環境で不正なスクリプトが実行される可能性がある。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。