Tech Insights

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サンドボックス制限を強化

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24116】macOS各バージョンでプライバシー設定回避の脆弱性を修正、サ...

Appleが2025年1月27日にmacOS Ventura 13.7.3、macOS Sequoia 15.3、macOS Sonoma 14.7.3向けのセキュリティアップデートをリリース。アプリケーションによるプライバシー設定の迂回を防ぐため、サンドボックスの制限を追加。CVSSスコア4.4の中程度の深刻度と評価された脆弱性に対処し、ユーザーのプライバシー保護を強化。CISAの分析では自動的な悪用は困難と評価。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル解析時の異常終了問題に対処

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24127】Appleが複数OSのセキュリティアップデートを公開、ファイル...

Appleは2025年1月27日、iPadOS、macOS、visionOS、iOS、tvOSに影響を与えるセキュリティ脆弱性【CVE-2025-24127】の修正パッチをリリースした。この脆弱性はファイル解析時にアプリケーションが予期せず終了する問題を引き起こす可能性があり、CVSSスコアは5.5(MEDIUM)と評価されている。CISAの評価では攻撃の自動化は不可能とされ、技術的な影響は部分的なものに留まることが指摘されている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能を強化しプライバシー保護を向上

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2025-24117】Appleが複数OSのアップデートを公開、ユーザー追跡防止機能...

2025年1月27日、AppleはvisionOS 2.3、iOS 18.3、iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3のアップデートを公開した。CVE-2025-24117として報告された脆弱性に対応し、アプリケーションによるユーザーフィンガープリントの取得を防止する機能を実装。CVSSスコアは5.5(MEDIUM)と評価され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証済みユーザーによるSQLインジェクションの脆弱性が発見、データベースからの機密情報抽出のリスクに

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13596】WordPress用Survey & Pollプラグインに認証...

WordPressプラグインのSurvey & Pollにおいて、バージョン1.7.5以前に深刻なSQLインジェクションの脆弱性が発見された。surveyショートコードのidパラメータに対する不十分なエスケープ処理が原因で、認証済みのContributorレベル以上のユーザーがデータベースから機密情報を抽出可能な状態となっている。CVSS v3.1での評価は6.5(Medium)であり、早急な対策が求められる。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI 1.0.0に認証済みユーザーによるXSS脆弱性が発見、早急な対策が必要に

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13700】WordPressプラグインEmbed Swagger UI ...

WordPressプラグインEmbed Swagger UI 1.0.0以前のバージョンにおいて、認証済みユーザーによる格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2024-13700として識別されるこの脆弱性は、wpsguiショートコードにおける不適切な入力処理に起因しており、ContributorレベルのユーザーがWebページに悪意のあるスクリプトを挿入可能となっている。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13758】CP Contact Form with PayPalでCSRF脆弱性を確認、管理者権限での不正操作が可能に

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2024-13758】CP Contact Form with PayPalでCSR...

WordPressプラグインのCP Contact Form with PayPalにおいて、バージョン1.3.52以前のすべてのバージョンでクロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。この脆弱性により、攻撃者は管理者を騙して不正な割引コードを追加することが可能となる。CVSSスコアは6.5(MEDIUM)と評価され、早急な対応が推奨される。開発元のcodepeopleは既に修正版の提供を開始している。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なSQLインジェクション脆弱性、データベースからの情報漏洩のリスクが浮上

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0861】WordPress用プラグインVR-Frasesにおける深刻なS...

WordfenceのセキュリティチームはWordPressプラグイン「VR-Frases」のバージョン3.0.1以前に存在するSQLインジェクション脆弱性を発見し公開した。CVSSスコア4.9の中程度の深刻度と評価された本脆弱性は、認証済みの管理者権限を持つユーザーに影響を与え、データベースからの機密情報漏洩のリスクが指摘されている。プラグイン開発者への迅速な対応が求められる事態となった。

【CVE-2025-0846】Employee Task Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2025-0846】Employee Task Management System ...

1000 Projects社のEmployee Task Management System 1.0において、AdminLogin.phpファイルのemailパラメータに関連するSQLインジェクションの脆弱性が発見された。CVSS 4.0で6.9(MEDIUM)、CVSS 3.1とCVSS 3.0では7.3(HIGH)と評価される重大な脆弱性であり、リモートからの攻撃が可能で、攻撃コードも公開されている。システムの機密性、整合性、可用性すべてに影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、未認証での情報漏洩のリスクが発覚

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13694】WooCommerce Wishlist 1.8.7に脆弱性、...

WordPressプラグイン「WooCommerce Wishlist」のバージョン1.8.7以前に、Insecure Direct Object Referenceの脆弱性が発見された。この脆弱性により、未認証の攻撃者がdownload_pdf_file関数を介して本来アクセスできないはずのウィッシュリスト情報を取得できる問題が判明。CVSSスコア7.5の高リスク脆弱性として評価され、早急な対応が求められている。

【CVE-2024-13400】WordPress用Kona Gallery Block 1.7にXSS脆弱性が発見、認証済みユーザーからの攻撃に注意

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13400】WordPress用Kona Gallery Block 1....

WordPressプラグインのKona Gallery Blockにおいて、バージョン1.7以前に重大なXSS(クロスサイトスクリプティング)脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能な状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。"Kona: Instagram for Gutenberg"ブロックのalign属性における入力検証の不備が原因とされており、早急な対応が推奨される。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、クロスサイトスクリプティングの危険性が浮上

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスによる攻撃のリスクに対応

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスに...

MediaTek社が2025年2月3日、同社のV5 DAにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。この脆弱性は物理アクセスを持つ攻撃者によって悪用される可能性があり、Android 12.0から15.0を搭載した42種類のMediaTekチップが影響を受ける。CVSSスコアは6.8(Medium)で、ALPS09291402というパッチIDとMSV-2073という問題IDで管理されている。

【CVE-2024-20141】MediaTekのV5 DAに権限昇格の脆弱性、物理アクセスに...

MediaTek社が2025年2月3日、同社のV5 DAにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。この脆弱性は物理アクセスを持つ攻撃者によって悪用される可能性があり、Android 12.0から15.0を搭載した42種類のMediaTekチップが影響を受ける。CVSSスコアは6.8(Medium)で、ALPS09291402というパッチIDとMSV-2073という問題IDで管理されている。

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Android 12.0から15.0の複数デバイスに影響

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Androi...

MediaTekは2025年2月3日、同社のsecmemにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。CVSSスコア7.8(High)と評価されたこの脆弱性は、MT6580からMT8798までの広範なプロセッサに影響を与え、Android 12.0から15.0を搭載したデバイスが対象となる。攻撃者がシステム権限を取得していた場合、ユーザーの操作なしで更なる権限昇格が可能となる。

【CVE-2025-20636】MediaTekのsecmemに権限昇格の脆弱性、Androi...

MediaTekは2025年2月3日、同社のsecmemにおいて境界チェックの欠如による権限昇格の脆弱性を公開した。CVSSスコア7.8(High)と評価されたこの脆弱性は、MT6580からMT8798までの広範なプロセッサに影響を与え、Android 12.0から15.0を搭載したデバイスが対象となる。攻撃者がシステム権限を取得していた場合、ユーザーの操作なしで更なる権限昇格が可能となる。

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上のチップセットに影響し権限昇格の恐れ

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上...

MediaTek社のDAコンポーネントにおいて、境界チェックの欠如によるバッファオーバーフロー脆弱性が発見された。この脆弱性により、デバイスへの物理アクセスが可能な攻撃者による権限昇格のリスクがある。影響を受けるのはMT6739やMT6761など40以上のチップセットで、Android 12.0から15.0を搭載するデバイスが対象だ。CVSSスコアは6.2(Medium)と評価されている。

【CVE-2025-20642】MediaTekのDAにバッファオーバーフロー脆弱性、40以上...

MediaTek社のDAコンポーネントにおいて、境界チェックの欠如によるバッファオーバーフロー脆弱性が発見された。この脆弱性により、デバイスへの物理アクセスが可能な攻撃者による権限昇格のリスクがある。影響を受けるのはMT6739やMT6761など40以上のチップセットで、Android 12.0から15.0を搭載するデバイスが対象だ。CVSSスコアは6.2(Medium)と評価されている。

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上のチップに影響

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上...

MediaTek社は2025年2月3日、DAコンポーネントに境界チェックの不備による脆弱性を公開した。この脆弱性はMT6739、MT6761、MT6765など40以上のチップに影響を与え、物理アクセスによる情報漏洩のリスクがある。Android 12.0から15.0まで影響を受け、CVSSスコアは6.2(Medium)と評価されている。パッチIDはALPS09291146として提供され、早急な対応が必要とされている。

【CVE-2025-20640】MediaTekのDAに境界チェック不備による脆弱性、40以上...

MediaTek社は2025年2月3日、DAコンポーネントに境界チェックの不備による脆弱性を公開した。この脆弱性はMT6739、MT6761、MT6765など40以上のチップに影響を与え、物理アクセスによる情報漏洩のリスクがある。Android 12.0から15.0まで影響を受け、CVSSスコアは6.2(Medium)と評価されている。パッチIDはALPS09291146として提供され、早急な対応が必要とされている。

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報漏洩の脆弱性が発見、Android 12.0から15.0に影響

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報...

MediaTek社は2025年2月3日、同社の複数のプロセッサに影響を与える脆弱性【CVE-2025-20643】を公開した。この脆弱性はDAにおけるバウンドチェックの欠如に起因しており、物理的なアクセス権を持つ攻撃者がシステム権限を取得した場合にローカル情報の漏洩につながる可能性がある。影響を受けるデバイスはMT6739やMT6761など40以上のプロセッサモデルに及び、CVSS v3.1で5.7(MEDIUM)と評価されている。

【CVE-2025-20643】MediaTekの複数デバイスでバウンドチェック欠如による情報...

MediaTek社は2025年2月3日、同社の複数のプロセッサに影響を与える脆弱性【CVE-2025-20643】を公開した。この脆弱性はDAにおけるバウンドチェックの欠如に起因しており、物理的なアクセス権を持つ攻撃者がシステム権限を取得した場合にローカル情報の漏洩につながる可能性がある。影響を受けるデバイスはMT6739やMT6761など40以上のプロセッサモデルに及び、CVSS v3.1で5.7(MEDIUM)と評価されている。

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデルに影響の可能性

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデル...

MediaTek社は2025年2月3日、同社のプロセッサに特権昇格の脆弱性【CVE-2025-20639】が発見されたことを公開した。DAにおける境界チェックの欠如により、物理アクセスを得た攻撃者による特権昇格が可能になる状態であることが判明。MT6739やMT6761など40以上のモデルのプロセッサがAndroid 12.0から15.0の環境で影響を受ける可能性がある。

【CVE-2025-20639】MediaTekプロセッサに特権昇格の脆弱性、40以上のモデル...

MediaTek社は2025年2月3日、同社のプロセッサに特権昇格の脆弱性【CVE-2025-20639】が発見されたことを公開した。DAにおける境界チェックの欠如により、物理アクセスを得た攻撃者による特権昇格が可能になる状態であることが判明。MT6739やMT6761など40以上のモデルのプロセッサがAndroid 12.0から15.0の環境で影響を受ける可能性がある。

NISCが年末年始のDDoS攻撃に警鐘、IoTボットネットを使用した重要インフラへの攻撃に注意喚起

NISCが年末年始のDDoS攻撃に警鐘、IoTボットネットを使用した重要インフラへの攻撃に注意喚起

内閣サイバーセキュリティセンター(NISC)は2024年12月から年末年始にかけて発生している一連のDDoS攻撃への対策強化を呼びかけた。航空事業者や金融機関、通信事業者などへのUDPフラッド攻撃やHTTPフラッド攻撃が確認されており、IoTボットネットを使用した攻撃手法への警戒が必要とされている。各事業者には海外IPアドレスからの通信遮断やDDoS対策専用装置の導入など、具体的な対策の実施を推奨している。

NISCが年末年始のDDoS攻撃に警鐘、IoTボットネットを使用した重要インフラへの攻撃に注意喚起

内閣サイバーセキュリティセンター(NISC)は2024年12月から年末年始にかけて発生している一連のDDoS攻撃への対策強化を呼びかけた。航空事業者や金融機関、通信事業者などへのUDPフラッド攻撃やHTTPフラッド攻撃が確認されており、IoTボットネットを使用した攻撃手法への警戒が必要とされている。各事業者には海外IPアドレスからの通信遮断やDDoS対策専用装置の導入など、具体的な対策の実施を推奨している。

GMOサイバーセキュリティbyイエラエが第一SOCをリニューアル、エンジニアファーストの執務環境と情報発信拠点として機能強化

GMOサイバーセキュリティbyイエラエが第一SOCをリニューアル、エンジニアファーストの執務環...

GMOサイバーセキュリティ byイエラエは2025年2月5日、東京都世田谷区用賀の「GMOインターネットTOWER」内にある「GMOイエラエSOC 用賀」の常設執務エリア「第一SOC」をリニューアルした。大画面モニターや長時間作業用チェアを導入し、エンジニアの作業効率を向上。さらに執務エリア内の撮影を許可し、サイバーセキュリティの情報発信拠点としても機能を強化している。

GMOサイバーセキュリティbyイエラエが第一SOCをリニューアル、エンジニアファーストの執務環...

GMOサイバーセキュリティ byイエラエは2025年2月5日、東京都世田谷区用賀の「GMOインターネットTOWER」内にある「GMOイエラエSOC 用賀」の常設執務エリア「第一SOC」をリニューアルした。大画面モニターや長時間作業用チェアを導入し、エンジニアの作業効率を向上。さらに執務エリア内の撮影を許可し、サイバーセキュリティの情報発信拠点としても機能を強化している。

Polimillが自治体向け生成AIコモンズAIを機能強化、政策根拠の説明機能を追加し行政の透明性向上へ

Polimillが自治体向け生成AIコモンズAIを機能強化、政策根拠の説明機能を追加し行政の透...

Polimill株式会社は2025年2月4日、省庁・自治体向け生成AI「QommonsAI」に政策の根拠となるデータソースや推論過程を説明できる機能を追加した。行政組織の説明責任と透明性確保に対応し、議会対応AIや公共サービスサポートAI、社会福祉AIなど多彩な機能を提供。住民サービスの向上と行政の信頼性向上に貢献することが期待される。

Polimillが自治体向け生成AIコモンズAIを機能強化、政策根拠の説明機能を追加し行政の透...

Polimill株式会社は2025年2月4日、省庁・自治体向け生成AI「QommonsAI」に政策の根拠となるデータソースや推論過程を説明できる機能を追加した。行政組織の説明責任と透明性確保に対応し、議会対応AIや公共サービスサポートAI、社会福祉AIなど多彩な機能を提供。住民サービスの向上と行政の信頼性向上に貢献することが期待される。

GoogleがChrome 133の安定版アップデートを公開、重要なセキュリティ修正を含む12件の改善を実施

GoogleがChrome 133の安定版アップデートを公開、重要なセキュリティ修正を含む12...

米GoogleはデスクトップGoogle Chromeの安定版アップデートを実施し、Windows/Mac向けにv133.0.6943.53/54、Linux向けにv133.0.6943.53を提供開始。SkiaとV8における高深刻度のUse after free脆弱性を含む全12件のセキュリティ修正を実施し、ブラウザの安全性と信頼性を向上。内部監査やファジングによる品質管理も強化されている。

GoogleがChrome 133の安定版アップデートを公開、重要なセキュリティ修正を含む12...

米GoogleはデスクトップGoogle Chromeの安定版アップデートを実施し、Windows/Mac向けにv133.0.6943.53/54、Linux向けにv133.0.6943.53を提供開始。SkiaとV8における高深刻度のUse after free脆弱性を含む全12件のセキュリティ修正を実施し、ブラウザの安全性と信頼性を向上。内部監査やファジングによる品質管理も強化されている。

Code Intelligence社が自律型AIテストエージェントSparkをリリース、ソフトウェアのバグ検出を効率化

Code Intelligence社が自律型AIテストエージェントSparkをリリース、ソフト...

ドイツのCode Intelligence社が、人間の介入なしでソフトウェアテストを自動生成・実行するAIテストエージェントSparkを正式リリースした。2分以内に3000件のテストケースを生成し、79.51%のコードカバレッジを達成。ベータテストでは8つのオープンソースプロジェクトで最大44.7%の効率向上を実現し、IoTシステムで広く使用される暗号化ライブラリの重大な脆弱性も発見している。

Code Intelligence社が自律型AIテストエージェントSparkをリリース、ソフト...

ドイツのCode Intelligence社が、人間の介入なしでソフトウェアテストを自動生成・実行するAIテストエージェントSparkを正式リリースした。2分以内に3000件のテストケースを生成し、79.51%のコードカバレッジを達成。ベータテストでは8つのオープンソースプロジェクトで最大44.7%の効率向上を実現し、IoTシステムで広く使用される暗号化ライブラリの重大な脆弱性も発見している。

【CVE-2024-13404】WordPress用プラグインLink Library 7.7.2にXSS脆弱性、認証不要で攻撃実行の可能性

【CVE-2024-13404】WordPress用プラグインLink Library 7.7...

WordPressプラグインLink Libraryのバージョン7.7.2以前において、Reflected Cross-Site Scriptingの脆弱性が発見された。searchllパラメータにおける入力サニタイズと出力エスケープの不備により、認証されていない攻撃者が悪意のあるWebスクリプトを注入できる可能性がある。CVSSスコアは6.1でMedium評価とされ、影響範囲には機密性と完全性が含まれている。

【CVE-2024-13404】WordPress用プラグインLink Library 7.7...

WordPressプラグインLink Libraryのバージョン7.7.2以前において、Reflected Cross-Site Scriptingの脆弱性が発見された。searchllパラメータにおける入力サニタイズと出力エスケープの不備により、認証されていない攻撃者が悪意のあるWebスクリプトを注入できる可能性がある。CVSSスコアは6.1でMedium評価とされ、影響範囲には機密性と完全性が含まれている。

【CVE-2025-0371】JetElements 2.7.2.1以前のWordPressプラグインにXSS脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2025-0371】JetElements 2.7.2.1以前のWordPressプ...

WordPressプラグインJetElementsのバージョン2.7.2.1以前に、複数のウィジェットにおける入力値の検証と出力のエスケープ処理が不十分であることによるクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つ認証済みユーザーによって悪用される可能性があり、CVSS v3.1で6.4(中程度)と評価されている。悪意のあるスクリプトを含むページにアクセスした際に実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2025-0371】JetElements 2.7.2.1以前のWordPressプ...

WordPressプラグインJetElementsのバージョン2.7.2.1以前に、複数のウィジェットにおける入力値の検証と出力のエスケープ処理が不十分であることによるクロスサイトスクリプティングの脆弱性が発見された。この脆弱性は投稿者以上の権限を持つ認証済みユーザーによって悪用される可能性があり、CVSS v3.1で6.4(中程度)と評価されている。悪意のあるスクリプトを含むページにアクセスした際に実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆弱性、Contributor権限で悪用可能に

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆...

WordPressプラグイン「MDTF – Meta Data and Taxonomies Filter」のバージョン1.3.3.6以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は「mdf_results_by_ajax」ショートコードの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が必要とされている。

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆...

WordPressプラグイン「MDTF – Meta Data and Taxonomies Filter」のバージョン1.3.3.6以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は「mdf_results_by_ajax」ショートコードの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が必要とされている。

【CVE-2024-13236】WordPressプラグインTainacan 0.21.12にSQL Injection脆弱性が発見、認証済みユーザーによる情報漏洩のリスクに

【CVE-2024-13236】WordPressプラグインTainacan 0.21.12に...

WordfenceがWordPress向けプラグインTainacanのバージョン0.21.12以前に存在するSQL Injection脆弱性を公開した。collection_idパラメータの不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態であることが判明。CVSSスコア6.5のMEDIUMレベルに分類されており、早急な対応が推奨される。

【CVE-2024-13236】WordPressプラグインTainacan 0.21.12に...

WordfenceがWordPress向けプラグインTainacanのバージョン0.21.12以前に存在するSQL Injection脆弱性を公開した。collection_idパラメータの不十分なエスケープ処理により、Subscriber以上の権限を持つユーザーがデータベースから機密情報を抽出できる状態であることが判明。CVSSスコア6.5のMEDIUMレベルに分類されており、早急な対応が推奨される。

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆弱性、バージョン9.8.6以前が影響を受ける状態に

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆...

WordPressプラグインStageShowにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13705】として識別され、バージョン9.8.6以前の全てのバージョンで、URLの適切なエスケープ処理が行われていないことが原因である。未認証の攻撃者がリンクのクリックなどのユーザーアクションを誘導することで、任意のWebスクリプトを実行可能になる。

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆...

WordPressプラグインStageShowにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13705】として識別され、バージョン9.8.6以前の全てのバージョンで、URLの適切なエスケープ処理が行われていないことが原因である。未認証の攻撃者がリンクのクリックなどのユーザーアクションを誘導することで、任意のWebスクリプトを実行可能になる。

【CVE-2024-13349】Stockdio Historical Chart 2.8.18に深刻な脆弱性、投稿者権限で攻撃の可能性が浮上

【CVE-2024-13349】Stockdio Historical Chart 2.8.1...

WordPressプラグインのStockdio Historical Chartにおいて、バージョン2.8.18以前に重大な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーがstockdio-historical-chartショートコードを介して任意のスクリプトを注入できるもので、CVSSスコアは6.4(Mediumレベル)と評価されている。影響を受けるページにアクセスするたびにスクリプトが実行される可能性があり、早急な対応が求められる。

【CVE-2024-13349】Stockdio Historical Chart 2.8.1...

WordPressプラグインのStockdio Historical Chartにおいて、バージョン2.8.18以前に重大な脆弱性が発見された。この脆弱性は投稿者以上の権限を持つユーザーがstockdio-historical-chartショートコードを介して任意のスクリプトを注入できるもので、CVSSスコアは6.4(Mediumレベル)と評価されている。影響を受けるページにアクセスするたびにスクリプトが実行される可能性があり、早急な対応が求められる。