脆弱性情報 WordPressに関連する脆弱性情報をお知らせします

「もしかしてウチも…」と思ったら"プリケアWP"のご利用を!
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (553)
ID 説明 スコア 情報元
ID 説明 スコア 情報元
CVE-2021-24788 Batch Cat WordPress プラグイン 0.3 では、3 つのカスタム AJAX アクションが定義されており、いずれも認証が必要ですが、すべてのロールで利用可能です。その結果、認証されたユーザー(単純な購読者を含む)なら誰でも、投稿に任意のカテゴリーを追加/設定/削除することができます。 6.5 CVE
2022-08-14 09:00:03.844719
CVE-2022-2091 3.2.1 以前の Cache Images WordPress プラグインは nonce チェックを実装していないため、攻撃者は CSRF 攻撃により、ログインした任意のユーザーを画像アップロードさせることができます。 6.5 CVE
2022-08-14 09:00:03.843826
CVE-2022-1672 4.0.7 以前の Insights from Google PageSpeed WordPress プラグインは、カスタム URL の削除などの各種操作を行う前に CSRF を検証しないため、CSRF 攻撃によりログインした管理者に当該操作を実行させることが可能です。 8.8 CVE
2022-08-14 09:00:03.843205
CVE-2022-1933 5.1.9 以前の CDI WordPress プラグインは、AJAX アクションのレスポンスに出力する前にパラメータをサニタイズおよびエスケープしません(未認証および認証ユーザーの両方が利用できます)。 6.1 CVE
2022-08-14 09:00:03.842559
CVE-2022-2092 2.16.0 以前の WooCommerce PDF Invoices & Packing Slips WordPress プラグインは、設定ページでパラメータをエスケープしていないため、攻撃者に反射型クロスサイトスクリプティング攻撃を仕掛けられる可能性があります。 6.1 CVE
2022-08-14 09:00:03.841823
CVE-2022-2090 2.4.2 以前の Discount Rules for WooCommerce WordPress プラグインは、プラグインの割引ルールページの属性で出力し直す前にパラメータをエスケープしないため、Reflected Cross-Site Scripting になる。 6.1 CVE
2022-08-14 09:00:03.841144
CVE-2021-24655 2.6.3 以前の WP User Manager WordPress プラグインは、パスワードをリセットするためのユーザ ID と、与えられたリセットキーとの関連性を保証していません。その結果、認証されたユーザは、そのIDだけを知っている任意のユーザのパスワードをリセットし(任意の値に)、そのアカウントにアクセスすることができます。 7.5 CVE
2022-08-14 09:00:03.840520
CVE-2022-2099 6.6.0 以前の WooCommerce WordPress プラグインには、決済ゲートウェイのタイトルにおけるエスケープとサニタイズの欠如により、蓄積型 HTML インジェクションの脆弱性が存在します。 4.8 CVE
2022-08-14 09:00:03.839872
CVE-2022-2222 4.5.91 以前の WordPress プラグイン Download Monitor は、ダウンロードされるファイルがブログフォルダ内にあり、機密ファイルでないことを保証していないため、ハード化された環境やマルチサイト設定でも admin などの高権限ユーザーが wp-config.php や /etc/passwd をダウンロードすることが可能になっています。 4.9 CVE
2022-08-14 09:00:03.839241
CVE-2022-2100 1.6.5 以前の WordPress プラグイン Page Generator は、設定をサニタイズおよびエスケープしないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行することができます。 4.8 CVE
2022-08-14 09:00:03.838582
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (553)

Copyright © 2022 frame and surface.

脆弱性情報は https://nvd.nist.gov/ の情報を元に提供しております。