WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-7627 WordPress 用 Bit File Manager プラグインは、バージョン 6.0 から 6.5.5 において、'checkSyntax' 関数を経由したリモートコード実行の脆弱性があります。これは、ファイル検証を実行する前に、一般にアクセス可能なディレクトリに一時ファイルを書き込むことに起因します。このため、管理者が Guest User に読み取り権限を許可している場合、認証されていない攻撃者がサーバ上でコードを実行することが可能です。 8.1 CVE
2024-11-21 03:00:06.817615
CVE-2024-7415 WordPress 用の Remember Me Controls プラグインは、2.0.1 までのすべてのバージョンにおいて、フルパス開示の脆弱性があります。これは、このプラグインが、display_errors が有効になっている bootstrap.php ファイルへの直接アクセスを許可しているためです。これにより、認証されていない攻撃者がウェブアプリケーションのフルパスを取得することが可能となり、他の攻撃に利用される可能性があります。表示される情報はそれだけでは役に立たず、影響を受けるウェブサイトに損害を与えるためには、別の脆弱性が存在する必要があります。 5.3 CVE
2024-11-21 03:00:05.732564
CVE-2024-7605 WordPress 用 HelloAsso プラグインは、1.1.10 までのすべてのバージョンにおいて、'ha_ajax' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者がプラグインのオプションを更新することが可能となり、サービスを中断させる可能性があります。 4.3 CVE
2024-11-21 03:00:05.731661
CVE-2024-7381 WordPress 用 Geo Controller プラグインは、8.6.9 までのすべてのバージョンにおいて、ajax__shortcode_cache 関数の認可および機能チェックが欠落しているため、ショートコードを不正に実行される脆弱性があります。これにより、認証されていない攻撃者がターゲットサイトで利用可能な任意のショートコードを実行することが可能になります。 5.3 CVE
2024-11-21 03:00:05.730896
CVE-2024-7380 WordPress 用 Geo Controller プラグインは、8.6.9 までのすべてのバージョンで ajax__geolocate_menu および ajax__geolocate_remove_menu 関数の機能チェックが欠落しているため、不正なメニュー作成/削除の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ、認証された攻撃者がWordPressのメニューを作成または削除することが可能になります。 4.3 CVE
2024-11-21 03:00:05.729963
CVE-2022-4529 WordPressのSecurity, Antivirus, Firewall - S.A.Fプラグインは、2.3.5までのバージョンにおいて、IPアドレス詐称の脆弱性があります。これは、リクエストロギングとログイン制限のために IP アドレス情報を取得する場所の制限が不十分なためです。攻撃者は X-Forwarded-For ヘッダにログに記録される別の IP アドレスを入力することができ、IP アドレスによるログインをブロックする設定を回避することができます。 5.3 CVE
2024-11-21 03:00:05.729190
CVE-2022-3556 WordPress 用のタクシー料金計算プラグインは、1.1.6 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、車両タイトルの設定を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、管理者権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 4.8 CVE
2024-11-21 03:00:05.728422
CVE-2024-6929 WordPress 用の Dynamic Featured Image プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.7.0 までのすべてのバージョンにおいて、'dfiFeatured' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-21 03:00:05.727524
CVE-2024-6894 WordPress 用 RD Station プラグインは、5.3.2 までのすべてのバージョンにおいて、プラグインによって追加された post メタボックスの入力サニタイズと出力エスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-21 03:00:05.726763
CVE-2024-6332 WordPress 用の Booking for Appointments and Events Calendar - Amelia Premium および Lite プラグインは、Premium 7.7 および Lite 1.2.3 までのすべてのバージョンにおいて、'ameliaButtonCommand' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者が、プレミアムバージョンのGoogleカレンダーOAuthトークンを含む、従業員カレンダーの詳細にアクセスすることが可能になります。 6.5 CVE
2024-11-21 03:00:05.725935
CVE-2024-8363 WordPress 用の Share This Image プラグインは、2.02 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの STI Buttons ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-21 03:00:05.725204
CVE-2024-5309 Form Vibes - Database Manager for Forms plugin for WordPress は、1.4.12 までのすべてのバージョンにおいて、 fv_export_csv, reset_settings, save_settings, save_columns_settings, get_analytics_data, get_event_logs_data, delete_submissions, get_submissions 関数の機能チェックが欠落しているため、データへの不正アクセスやデータの改ざんの可能性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、複数の不正なアクションを実行することが可能になります。注: この脆弱性は、バージョン 1.4.12 で部分的に修正されています。 5.4 CVE
2024-11-21 03:00:05.724370
CVE-2024-6835 WordPress 用プラグイン Ivory Search - WordPress Search Plugin には、5.5.6 までのすべてのバージョンにおいて、ajax_load_posts 関数を介した情報漏えいの脆弱性があります。これにより、認証されていない攻撃者が、AJAX 検索フォームのブーリアンベースの攻撃を使って、パスワードで保護された投稿からテキストデータを抽出することが可能になります。 5.3 CVE
2024-11-21 03:00:05.723581
CVE-2024-6846 2.4.5以前のChatGPT WordPressプラグインを使用したチャットボットでは、一部のRESTルートでアクセス認証が行われず、認証されていないユーザーがエラーログやチャットログを消去できる可能性があります。 5.3 CVE
2024-11-21 03:00:05.722821
CVE-2024-8289 WordPress 用 MultiVendorX - The Ultimate WooCommerce Multivendor Marketplace Solution プラグインは、4.2.0 までのすべてのバージョンにおいて、update_item_permissions_check および create_item_permissions_check 関数の機能チェックが不十分であるため、特権の昇格/降格およびアカウントの乗っ取りの脆弱性があります。これにより、認証されていない攻撃者が vendor ロールを持つユーザのパスワードを変更したり、 vendor ロールを持つ新しいユーザを作成したり、 administrator のような他のユーザを vendor ロールに降格させたりすることが可能になってしまいます。 9.8 CVE
2024-11-21 03:00:05.721300
CVE-2024-7870 WordPress 用 PixelYourSite - Your smart PIXEL (TAG) & API Manager および PixelYourSite PRO プラグインには、9.7.1 および 10.4.2 までのすべてのバージョンにおいて、一般に公開されたログファイルを通じて機密情報が暴露される脆弱性があります。これにより、認証されていない攻撃者が、公開されたログファイルに含まれる潜在的にセンシティブな情報を閲覧したり、ログファイルを削除したりすることが可能になります。 7.5 CVE
2024-11-21 03:00:05.720490
CVE-2024-8318 WordPress 用 Attributes for Blocks プラグインは、1.0.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'attributesForBlocks' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-21 03:00:05.719579
CVE-2024-8123 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress は、3.0.8 までのすべてのバージョンにおいて、ユーザが管理するキーのバリデーションが欠落しているため、duplicate_post 関数を経由した安全でない直接オブジェクト参照の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者は、管理者を含む他の作者が書いた投稿を複製することが可能です。これには、パスワードで保護された投稿を複製する機能も含まれており、その内容が明らかになってしまいます。 5.4 CVE
2024-11-21 03:00:05.719026
CVE-2024-8121 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress は、3.0.8 までのすべてのバージョンにおいて、wpext_change_admin_name() 関数の機能チェックが欠落しているため、ユーザー名を不正に変更される脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、デフォルトの 'admin' が使用されている限り、管理者のユーザ名を自分の好きなユーザ名に変更することが可能です。 4.3 CVE
2024-11-21 03:00:05.718407
CVE-2024-8119 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、3.0.8 までのすべてのバージョンにおいて、page パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-11-21 03:00:05.717832
CVE-2024-8117 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress は、3.0.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'selected_option' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-11-21 03:00:05.717052
CVE-2024-8106 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress には、3.0.8 までのすべてのバージョンにおいて、download_user_ajax 関数を介した機密情報暴露の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、ユーザー名、ハッシュ化されたパスワード、電子メールを含む機密データを抽出することが可能になります。 6.5 CVE
2024-11-21 03:00:05.716341
CVE-2024-8104 The Ultimate WordPress Toolkit - WP Extended plugin for WordPress は、3.0.8 までのすべてのバージョンにおいて、download_file_ajax 関数を経由したディレクトリトラバーサルの脆弱性があります。これにより、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 6.5 CVE
2024-11-21 03:00:05.715549
CVE-2024-8102 WordPress 用プラグイン The Ultimate WordPress Toolkit - WP Extended には、3.0.8 までのすべてのバージョンにおいて module_all_toggle_ajax() 関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 8.8 CVE
2024-11-21 03:00:05.714760
CVE-2024-8325 ブロックスペアGutenberg Blocks & Patterns for Blogs, Magazines, Business Sites - Post Grids, Sliders, Carousels, Counters, Page Builder & Starter Site Imports, No Coding Needed for WordPress プラグインは、3.2.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'blockspare_render_social_sharing_block' 関数の複数のパラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-21 03:00:05.713941
CVE-2024-7786 4.24.2以前のSensei LMS WordPressプラグインは、そのREST APIルートの一部を適切に保護しておらず、認証されていない攻撃者が電子メールテンプレートを流出させる可能性があります。 5.3 CVE
2024-11-21 03:00:05.713202
CVE-2024-6926 Viral Signup WordPress プラグイン 2.1 では、認証されていないユーザーが利用可能な AJAX アクションで SQL 文にパラメータを使用する前に、パラメータを適切にサニタイズおよびエスケープしていないため、SQL インジェクションが発生します。 9.8 CVE
2024-11-21 03:00:05.712464
CVE-2024-6889 4.1.7より前のSecure Copy Content Protection and Content Locking WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 4.8 CVE
2024-11-21 03:00:05.711590
CVE-2024-6888 4.1.7より前のSecure Copy Content Protection and Content Locking WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-11-21 03:00:05.710678
CVE-2024-6722 チャットボットサポートAI: Free ChatGPT Chatbot, Woocommerce Chatbot WordPressプラグイン(1.0.2まで)は、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-11-21 03:00:05.709698
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.