WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-8478 WordPress 用の Affiliate Super Assistent プラグインは、1.5.3 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、'Parse comments' オプションが有効になっている場合に、ユーザがコメント内で任意のショートコードを供給することをソフトウェアが許可していることが原因です。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 7.3 CVE
2024-12-03 09:00:35.445039
CVE-2024-8242 MStore API - Create Native Android & iOS Apps On The Cloud plugin for WordPress は、4.15.3 までのすべてのバージョンにおいて、update_user_profile() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイル (PHP ファイルを除く) をアップロードすることが可能となり、リモートでコードを実行される可能性があります。この問題を悪用するために、認証されていないユーザが登録エンドポイントを使用することが可能です。 4.3 CVE
2024-12-03 09:00:35.444237
CVE-2024-7423 WordPress 用 Stream プラグインには、4.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、network_options_action() 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。これにより、認証されていない攻撃者が任意のオプションを更新することが可能となり、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができます。 8.8 CVE
2024-12-03 09:00:35.443659
CVE-2024-6544 WordPress 用 Custom Post Limits プラグインは、4.4.1 までのすべてのバージョンにおいて、フルパス公開の脆弱性があります。これはプラグインが bootstrap を利用し、display_errors がオンのテストファイルを残しているためです。これにより、認証されていない攻撃者がウェブアプリケーションのフルパスを取得することが可能となり、他の攻撃に利用される可能性があります。表示される情報はそれだけでは役に立たず、影響を受けるウェブサイトに損害を与えるためには、別の脆弱性が存在する必要があります。 5.3 CVE
2024-12-03 09:00:35.443064
CVE-2024-5884 WordPress 用の Beauty テーマは、1.1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tpl_featured_cat_id' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.442474
CVE-2024-5870 WordPress 用の Tweaker5 テーマには、入力のサニタイズと出力のエスケープが不十分なため、1.2 までのすべてのバージョンにおいて、テーマの Button ショートコード内の 'url' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.441907
CVE-2024-5869 WordPress 用テーマ Neighborly には、入力のサニタイズと出力のエスケープが不十分なため、1.4 までのすべてのバージョンにおいて、テーマの Button ショートコード内の 'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.441244
CVE-2024-5867 WordPress用テーマ「Delicate」は、入力のサニタイズと出力のエスケープが不十分なため、3.5.5までのすべてのバージョンにおいて、テーマのButtonショートコード内の「link」パラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.440631
CVE-2024-5789 WordPress用テーマ「Triton Lite」には、入力のサニタイズと出力のエスケープが不十分であるため、1.3までのすべてのバージョンにおいて、テーマのButtonショートコード内の「url」属性を経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.440034
CVE-2022-2446 WordPress 用 WP Editor プラグインは、1.2.9 までのバージョンにおいて、 'current_theme_root' パラメータ経由で信頼できない入力をデシリアライズする脆弱性があります。このため、管理者権限を持つ認証済みの攻撃者が PHAR ラッパーを使用してファイルを呼び出すことが可能です。PHAR ラッパーは任意の PHP オブジェクトをデシリアライズして呼び出します。また、攻撃者がシリアライズされたペイロードを含むファイルのアップロードに成功する必要があります。 7.2 CVE
2024-12-03 09:00:35.439374
CVE-2024-8742 Essential Addons for Elementor - Best Elementor Addon, Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、6.0.3 までのすべてのバージョンにおいて、プラグインのフィルタブルギャラリーウィジェットを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-12-03 09:00:35.438805
CVE-2024-8665 WordPress 用 YITH Custom Login プラグインは、1.7.3 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-12-03 09:00:35.438243
CVE-2024-8664 WordPress 用 WP Test Email プラグインは、1.1.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-12-03 09:00:35.437633
CVE-2024-8663 WordPress 用 WP Simple Booking Calendar プラグインは、2.0.10 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg & remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-12-03 09:00:35.437083
CVE-2024-7888 Classified Listing - Classified ads & Business Directory Plugin plugin for WordPress は、3.1.7 までのすべてのバージョンにおいて、export_forms(), import_forms(), update_fb_options() などの関数の機能チェックが欠落しているため、不正アクセスの可能性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、フォームやその他のさまざまな設定を変更することが可能になってしまう。 6.3 CVE
2024-12-03 09:00:35.436497
CVE-2024-5567 WordPress 用 Betheme テーマには、27.5.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2024-12-03 09:00:35.435847
CVE-2024-7864 2.1以前のFavicon Generator (CLOSED) WordPressプラグインは、output_sub_admin_page_0()関数においてCSRFおよびパスバリデーションを行っていないため、攻撃者はログインした管理者にサーバー上の任意のファイルを削除させることができる。 6.5 CVE
2024-12-03 09:00:35.435347
CVE-2024-7863 2.1以前のFavicon Generator (CLOSED) WordPressプラグインは、アップロードされるファイルを検証せず、CSRFチェックも行っていないため、攻撃者はログインした管理者にサーバー上のPHPなどの任意のファイルをアップロードさせることができる。 6.8 CVE
2024-12-03 09:00:35.434848
CVE-2024-7133 2.7.3以前のFloating Notification Bar, Sticky Menu on Scroll, Announcement Banner, Sticky Header for Any WordPressプラグインは、ページ内に出力する前にその設定の一部を検証およびエスケープしていないため、高いロールを持つユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 4.8 CVE
2024-12-03 09:00:35.434341
CVE-2024-7129 Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin WordPressプラグイン1.6.7.43以前のバージョンでは、ユーザー入力を介して提供されるテンプレート構文をエスケープしていないため、Twigテンプレートインジェクションが発生し、さらに悪用されると、管理者などの高権限者によってリモートでコードが実行される可能性があります。 7.2 CVE
2024-12-03 09:00:35.433860
CVE-2024-6850 2.2.4以前のCarousel Slider WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、編集者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-12-03 09:00:35.433342
CVE-2024-6723 2.4.8より前のAI Engine WordPressプラグインは、SQL文で使用する前にパラメータを適切にサニタイズおよびエスケープしていないため、チャットボットのディスカッションを閲覧する際に管理者ユーザーがSQLインジェクションを悪用する可能性があります。 4.7 CVE
2024-12-03 09:00:35.432809
CVE-2024-6617 1.2以前のNinjaTeam Header Footer Custom Code WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-12-03 09:00:35.432249
CVE-2024-6493 1.2以前のNinjaTeam Header Footer Custom Code WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-12-03 09:00:35.431631
CVE-2024-5628 Avada | Website Builder For WordPress & eCommerce plugin for WordPress は、3.11.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザー属性の出力エスケープが不十分なため、プラグインの fusion_button ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性は 3.11.9 で部分的に修正されました。バージョン 3.11.10 では、別の攻撃ベクトルに対するハードニングが追加されました。 6.4 CVE
2024-12-03 09:00:35.431029
CVE-2024-8656 WordPress 用 WPFactory Helper プラグインは、1.7.0 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-12-03 09:00:35.430424
CVE-2024-8622 amCharts:WordPress 用の Charts and Maps プラグインは、1.4.4 までのすべてのバージョンにおいて、任意の JavaScript を供給できること、プレビュー機能における nonce 検証の欠如により、'amcharts_javascript' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-12-03 09:00:35.429847
CVE-2024-8529 WordPress 用プラグイン LearnPress - WordPress LMS Plugin は、4.2.7 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が不十分であるため、/wp-json/lp/v1/courses/archive-course REST API エンドポイントの 'c_fields' パラメータを経由した SQL インジェクションに対して脆弱である。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 10.0 CVE
2024-12-03 09:00:35.429270
CVE-2024-8522 WordPress 用プラグイン LearnPress - WordPress LMS Plugin は、4.2.7 までのすべてのバージョンにおいて、ユーザーから提供されたパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、/wp-json/learnpress/v1/courses REST API エンドポイントの 'c_only_fields' パラメータを経由した SQL インジェクションに対して脆弱です。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 10.0 CVE
2024-12-03 09:00:35.428677
CVE-2024-8056 0.7.9までのMM-Breaking News WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力していないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 6.1 CVE
2024-12-03 09:00:35.428173
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.