WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11627 | WordPress 用の Site Checkup Debug AI Troubleshooting with Wizard and Tips for Each Issue プラグインは、1.47 までのすべてのバージョンにおいて、ログファイル中毒の脆弱性があります。これにより、認証されていない攻撃者がログファイルに任意のコンテンツを挿入し、ディスクスペースの枯渇によるサービス拒否を引き起こす可能性があります。 | 6.5 |
CVE 2026-02-03 23:00:03.713856 |
| CVE-2025-10636 | 1.3.1 までの NS Maintenance Mode for WP WordPress プラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html 機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 3.5 |
CVE 2026-02-03 23:00:03.713276 |
| CVE-2025-10008 | WordPress 用の Translate WordPress and go Multilingual - Weglot プラグインは、5.1 までのすべてのバージョンにおいて、'clean_options' 関数の機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、認証されていない攻撃者が、キャッシュされたプラグインオプションを含む限定的なトランジェントを削除することが可能になります。 | 5.3 |
CVE 2026-02-03 23:00:03.712461 |
| CVE-2025-12475 | WordPress 用 Blocksy Companion プラグインは、2.1.14 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'blocksy_newsletter_subscribe' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-03 23:00:03.711232 |
| CVE-2025-11632 | Call Now Button - The #1 Click to Call Button for WordPress plugin for WordPress は、1.5.4 までのすべてのバージョンにおいて、複数の機能における機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者が、課金ポータルへのリンクを生成し、そこで接続されたアカウントの課金情報を表示および変更したり、チャットセッショントークンを生成したり、ドメインステータスを表示したりすることが可能になります。 この脆弱性はバージョン1.5.4で部分的に修正され、バージョン1.5.5で完全に修正されました。 | 4.3 |
CVE 2026-02-03 23:00:03.710382 |
| CVE-2025-11587 | The Call Now Button - The #1 Click to Call Button for WordPress plugin for WordPress は、1.5.3 までのすべてのバージョンにおいて、activate 関数の機能チェックが欠落しているため、不正にデータを変更される可能性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインを自分のnowbuttons.comアカウントにリンクし、悪意のあるボタンをサイトに追加することが可能になります。この脆弱性は、プラグインが以前にAPIキーで設定されていない新規インストールでのみ悪用可能です。 | 4.3 |
CVE 2026-02-03 23:00:03.709443 |
| CVE-2025-12450 | WordPress 用 LiteSpeed Cache プラグインには、入力のサニタイズと出力のエスケープが不十分なため、7.5.0.1 までのすべてのバージョンで URL を介した反射型クロスサイトスクリプティングの脆弱性がある。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-02-03 23:00:03.708870 |
| CVE-2015-10147 | WordPress 用 Easy Testimonial Slider and Form プラグインは、1.0.2 までのすべてのバージョンにおいて、ユーザが提供するパラメー タのエスケープが不十分で、既存の SQL クエリに十分な準備がないため、'id' パラメータ経由の SQL インジェクションに対して脆弱です。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2026-02-03 23:00:03.708310 |
| CVE-2015-10146 | WordPress 用 Thumbnail Slider With Lightbox プラグインは、1.0.4 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'id' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、管理者レベル以上のアクセス権を持つ認証された攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能です。 | 4.9 |
CVE 2026-02-03 23:00:03.707345 |
| CVE-2025-60075 | Allegro Marketing hpb seo plugin for WordPress hpbseo にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、Reflected XSS が可能です。この問題は、hpb seo plugin for WordPress: n/a から <= 3.0.1 まで に影響します。 | 7.1 |
CVE 2026-02-03 23:00:03.706818 |
| CVE-2023-7320 | WordPress 用 WooCommerce プラグインは、7.8.2 までのバージョンにおいて、Store API の REST エンドポイントの CORS 処理が不適切なため、任意のオリジンからの外部からの直接アクセスを許してしまい、機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、PII(Personal Identifiable Information: 個人を特定できる情報)を含む、機密性の高いユーザ情報を引き出すことを許してしまう可能性があります。 | 5.3 |
CVE 2026-02-03 23:00:03.706040 |
| CVE-2025-9544 | 2.5.1までのDoppler Forms WordPressプラグインは、ユーザー能力の検証やnonceを使わずにAJAXアクションinstall_extensionを登録します。その結果、Subscriber ロールを持つユーザーを含む認証済みユーザーなら誰でも、2.5.1 までの Doppler Forms WordPress プラグインをインストールして有効化することができます (2.5.1 までの Doppler Forms WordPress プラグインによってホワイトリストに登録されたユーザーに限られます)。 | 6.5 |
CVE 2026-02-03 23:00:03.705070 |
| CVE-2025-11705 | WordPress 用の Anti-Malware Security and Brute-Force Firewall プラグインは、4.23.81 までのすべてのバージョンにおいて、いくつかの GOTMLS_* AJAX アクションにおける情報露出と組み合わされた機能チェックの欠落により、任意のファイルを読み取られる脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、機密情報を含む可能性のあるサーバ上の任意のファイルの内容を読み取ることが可能です。 | 6.5 |
CVE 2026-02-03 23:00:03.702454 |
| CVE-2025-4665 | WordPress プラグイン Contact Form CFDB7 の 1.3.2 までのバージョンには、安全でないデシリアライゼーション (PHP オブジェクトインジェクション) を引き起こす、認証前の SQL インジェクションの脆弱性があります。この脆弱性は、プラグインのエンドポイントにおけるユーザ入力の検証が不十分なために生じ、細工された入力がバックエンドのクエリに予期せぬ影響を与える可能性があります。特別に細工されたペイロードを使用すると、安全でないデシリアライズにエスカレートする可能性があり、PHPにおいて任意のオブジェクトインジェクションを可能にします。この問題は認証無しでリモートから悪用可能ですが、成功させるには、影響を受けるエンドポイントとの細工されたやり取りが必要です。 | 9.6 |
CVE 2026-02-03 23:00:03.701081 |
| CVE-2025-11735 | HUSKY - Products Filter Professional for WooCommerce for WordPress プラグインは、1.3.7.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータに対するエスケープが不十分であり、既存の SQL クエリに対する準備が不十分であるため、`phrase` パラメータを経由したブラインド SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-02-03 23:00:03.700313 |
| CVE-2025-11154 | 2.1.13以前のIDonate WordPressプラグインは、アクションハンドラを経由してユーザーを削除する際に認証とCSRFが行われないため、認証されていない攻撃者が任意のユーザーを削除できてしまいます。 | 5.4 |
CVE 2026-02-03 23:00:03.699445 |
| CVE-2025-62987 | この問題は、Builderall Builder for WordPress の n/a から <= 3.0.1 までのバージョンに影響します。 | 6.5 |
CVE 2026-02-03 23:00:03.676738 |
| CVE-2025-11897 | The7 - Website and eCommerce Builder for WordPress for WordPress テーマには、入力のサニタイズと出力のエスケープが不十分なため、12.9.1 までのすべてのバージョンにおいて、' the7_fancy_title_css' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-02 09:00:07.385461 |
| CVE-2025-9322 | Stripe Payment Forms by WP Full Pay - Accept Credit Card Payments, Donations & Subscriptions plugin for WordPress は、8.3.1 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'wpfs-form-name' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-02-02 03:00:05.506992 |
| CVE-2025-8483 | The Discussion Board - WordPress Forum Plugin プラグインは、2.5.5 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 6.3 |
CVE 2026-02-02 03:00:05.506398 |
| CVE-2025-8416 | WordPress 用 Product Filter by WBW プラグインには、2.9.7 までのすべてのバージョンにおいて、'filtersDataBackend' パラメータを経由した SQL インジェクションの脆弱性があります。これは、ユーザが提供したパラメータのエスケープが不十分であることと、既存のSQLクエリの準備が不十分であることが原因です。これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、既に存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-02-02 03:00:05.505113 |
| CVE-2025-4203 | WordPress 用 wpForo Forum プラグインは、2.4.8 までのすべてのバージョンにおいて、 'offset' および 'row_count' パラメータの整数バリデーションが欠落しているため、 get_members() 関数を経由したエラーベースまたは時間ベースの SQL インジェクションの脆弱性があります。この関数は、数値を強制するのではなく、esc_sql() を使用して 'LIMIT offset,row_count' 節に 'row_count' を盲目的に補間します。MySQL 5.x の文法では、LIMIT 句の直後に 'PROCEDURE ANALYSE' 句を記述することができます。row_count'を制御する認証されていない攻撃者は、ストアドプロシージャの呼び出しを追加することができ、データベースから機密情報を抽出するために使用できるエラーベースまたは時間ベースのブラインドSQLインジェクションを可能にします。 | 7.5 |
CVE 2026-02-02 03:00:05.504427 |
| CVE-2025-12034 | WordPress 用 Fast Velocity Minify プラグインは、3.5.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-02-02 03:00:05.503523 |
| CVE-2025-11976 | FuseWP - WordPress User Sync to Email List & Marketing Automation (Mailchimp, Constant Contact, ActiveCampaign etc.) plugin for WordPress は、1.1.23.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、save_changes 関数の nonce 検証の欠落または不正確さが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介して同期ルールを追加または編集することが可能になります。 | 4.3 |
CVE 2026-02-02 03:00:05.502542 |
| CVE-2025-11893 | Charitable - Donation Plugin for WordPress - Fundraising with Recurring Donations & More plugin for WordPress には、1.8.8.4 までのすべてのバージョンにおいて、donation_ids パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者は、データベースから機密情報を抽出するために使用できる、追加の SQL クエリを既存のクエリに追加することが可能になります。この脆弱性を悪用するには、有償の寄付が必要です。 | 8.8 |
CVE 2026-02-02 03:00:05.501529 |
| CVE-2025-11875 | WordPress 用 SpendeOnline.org プラグインは、3.0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'spendeonline' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-02 03:00:05.500540 |
| CVE-2025-11497 | WordPress 用 Advanced Database Cleaner プラグインは、3.1.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは aDBc_prepare_elements_to_clean() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストによって、 keep last の設定を変更することが可能になります。 | 4.3 |
CVE 2026-02-02 03:00:05.499264 |
| CVE-2025-11255 | WordPress 用 Password Policy Manager | Password Manager プラグインは、2.0.5 までのすべてのバージョンにおいて、'moppm_ajax' AJAX エンドポイントのケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、サイトの miniorange への接続をログアウトすることが可能になります。 | 4.3 |
CVE 2026-02-02 03:00:05.498473 |
| CVE-2025-10637 | WordPress 用の Social Feed Gallery プラグインは、4.9.2 以下のバージョンにおいて情報漏えいの脆弱性があります。これは、プラグインが、ユーザがアクションを実行する権限があることを適切に検証しないことが原因です。これにより、認証されていない攻撃者が、サイト所有者が自分のサイトに接続しているあらゆるアカウントからInstagramのプロフィールとメディアデータを流出させることが可能になります。 | 5.3 |
CVE 2026-02-02 03:00:05.497323 |
| CVE-2025-10580 | The Widget Options - The #1 WordPress Widget & Block Control Plugin plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、4.1.2 までのすべてのバージョンにおいて、複数の関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-02 03:00:05.496587 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.