WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-24926 | UnitedThemes Brooklyn | Creative Multi-Purpose Responsive WordPress Theme に信頼できないデータのデシリアライズの脆弱性この問題は、Brooklyn | Creative Multi-Purpose Responsive WordPress Theme: n/a から 4.9.7.6 に影響します。 | 7.5 |
CVE 2024-04-27 23:00:04.429068 |
| CVE-2024-1562 | WordPress 用 WooCommerce Google Sheet Connector プラグインは、1.3.11 までのすべてのバージョンにおいて execute_post_data 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がプラグインの設定を更新することが可能になります。 | 5.3 |
CVE 2024-04-27 23:00:04.428221 |
| CVE-2024-1501 | WordPress 用 Database Reset プラグインには、3.22 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、install_wpr() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによって WP Reset Plugin をインストールすることが可能です。 | 4.7 |
CVE 2024-04-27 23:00:04.427566 |
| CVE-2024-1108 | WordPress 用プラグイン Plugin Groups には、2.0.6 までのすべてのバージョンにおいて admin_init() 関数のケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がプラグインの設定を変更することが可能となり、設定ミスによるサービス拒否を引き起こす可能性もあります。 | 6.5 |
CVE 2024-04-27 23:00:04.426969 |
| CVE-2024-1559 | WordPress 用 Link Library プラグインは、7.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'll_reciprocal' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.5 |
CVE 2024-04-27 23:00:04.426360 |
| CVE-2024-1510 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、7.0.2 までのすべてのバージョンにおいて、ユーザが提供する属性とユーザが提供するタグの入力サニタイズと出力エスケープが不十分なため、プラグインの su_tooltip ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-04-27 23:00:04.425596 |
| CVE-2024-1512 | MasterStudy LMS WordPress Plugin - for Online Courses and Education plugin for WordPress は、3.2.5 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、/lms/stm-lms/order/items REST ルートの 'user' パラメータを経由したユニオンベースの SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 9.8 |
CVE 2024-04-27 23:00:04.424936 |
| CVE-2024-0610 | WordPress 用の Piraeus Bank WooCommerce Payment Gateway プラグインは、1.6.5.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'MerchantReference' パラメータを経由した時間ベースのブラインド SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能になります。 | 9.8 |
CVE 2024-04-27 23:00:04.424245 |
| CVE-2024-0708 | WordPress 用プラグイン Landing Page Cat - Coming Soon Page, Maintenance Page & Squeeze Pages には、1.7.2 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が公開されていないランディングページにアクセスすることが可能になります。 | 5.3 |
CVE 2024-04-27 23:00:04.423503 |
| CVE-2024-1160 | WordPress 用 Bold Page Builder プラグインは、4.8.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、プラグインのアイコンリンクを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-04-27 23:00:04.422839 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.