WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11893 | Charitable - Donation Plugin for WordPress - Fundraising with Recurring Donations & More plugin for WordPress には、1.8.8.4 までのすべてのバージョンにおいて、donation_ids パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者は、データベースから機密情報を抽出するために使用できる、追加の SQL クエリを既存のクエリに追加することが可能になります。この脆弱性を悪用するには、有償の寄付が必要です。 | 8.8 |
CVE 2026-01-19 09:00:21.604502 |
| CVE-2025-4203 | WordPress 用 wpForo Forum プラグインは、2.4.8 までのすべてのバージョンにおいて、 'offset' および 'row_count' パラメータの整数バリデーションが欠落しているため、 get_members() 関数を経由したエラーベースまたは時間ベースの SQL インジェクションの脆弱性があります。この関数は、数値を強制するのではなく、esc_sql() を使用して 'LIMIT offset,row_count' 節に 'row_count' を盲目的に補間します。MySQL 5.x の文法では、LIMIT 句の直後に 'PROCEDURE ANALYSE' 句を記述することができます。row_count'を制御する認証されていない攻撃者は、ストアドプロシージャの呼び出しを追加することができ、データベースから機密情報を抽出するために使用できるエラーベースまたは時間ベースのブラインドSQLインジェクションを可能にします。 | 7.5 |
CVE 2026-01-19 09:00:20.464913 |
| CVE-2025-12034 | WordPress 用 Fast Velocity Minify プラグインは、3.5.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-01-19 09:00:19.367581 |
| CVE-2025-11976 | FuseWP - WordPress User Sync to Email List & Marketing Automation (Mailchimp, Constant Contact, ActiveCampaign etc.) plugin for WordPress は、1.1.23.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、save_changes 関数の nonce 検証の欠落または不正確さが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介して同期ルールを追加または編集することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:18.257306 |
| CVE-2025-11875 | WordPress 用 SpendeOnline.org プラグインは、3.0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'spendeonline' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:15.979087 |
| CVE-2025-11497 | WordPress 用 Advanced Database Cleaner プラグインは、3.1.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは aDBc_prepare_elements_to_clean() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストによって、 keep last の設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:14.625547 |
| CVE-2025-11255 | WordPress 用 Password Policy Manager | Password Manager プラグインは、2.0.5 までのすべてのバージョンにおいて、'moppm_ajax' AJAX エンドポイントのケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、サイトの miniorange への接続をログアウトすることが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:13.509818 |
| CVE-2025-10637 | WordPress 用の Social Feed Gallery プラグインは、4.9.2 以下のバージョンにおいて情報漏えいの脆弱性があります。これは、プラグインが、ユーザがアクションを実行する権限があることを適切に検証しないことが原因です。これにより、認証されていない攻撃者が、サイト所有者が自分のサイトに接続しているあらゆるアカウントからInstagramのプロフィールとメディアデータを流出させることが可能になります。 | 5.3 |
CVE 2026-01-19 09:00:12.486097 |
| CVE-2025-10580 | The Widget Options - The #1 WordPress Widget & Block Control Plugin plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、4.1.2 までのすべてのバージョンにおいて、複数の関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.485558 |
| CVE-2025-10488 | Directorist:WordPress 用の AI-Powered Business Directory Plugin with Classified Ads Listings プラグインは、8.4.8 までのすべてのバージョンにおいて、add_listing_action AJAX アクションにおけるファイルパスの検証が不十分なため、任意のファイルを移動される脆弱性があります。このため、認証されていない攻撃者がサーバー上の任意のファイルを移動することが可能で、適切なファイル(wp-config.php など)が移動されると、簡単にリモートでコードが実行される可能性があります。 | 8.1 |
CVE 2026-01-19 09:00:12.484317 |
| CVE-2025-8666 | WordPress 用 Testimonial Carousel For Elementor プラグインは、入力のサニタイズと出力のエスケープが不十分なため、11.6.2 以下のバージョンにおいて、複数のパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.483781 |
| CVE-2025-8588 | WordPress 用 Gutenberg Blocks - PublishPress Blocks プラグインは、3.3.4 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Maps ブロックの 'Marker Title' および 'Marker Description' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.482933 |
| CVE-2025-8413 | WordPress 用 Listeo テーマは、2.0.8 以下のバージョンのプラグインの `soundcloud` ショートコードを介して、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、保存されたクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.482095 |
| CVE-2025-6680 | WordPress 用の e ラーニングおよびオンラインコースソリューションプラグイン Tutor LMS には、3.8.3 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これにより、チューターレベル以上のアクセス権を持つ認証された攻撃者が、機密情報を含む可能性のある、自分が教えていないコースの課題を閲覧することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.481075 |
| CVE-2025-6639 | Tutor LMS Pro - WordPress 用の e ラーニングおよびオンラインコースソリューションプラグインは、tutor_assignment_submit() 関数を通して課題を閲覧および編集する際に、ユーザが制御するキーのバリデーションが欠落しているため、3.8.3 までのすべてのバージョンにおいて、Insecure Direct Object Reference の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者が、他の学生の課題提出を閲覧および編集することが可能になります。 | 5.4 |
CVE 2026-01-19 09:00:12.480463 |
| CVE-2025-12095 | WordPress 用 Simple Registration for WooCommerce プラグインには、1.5.8 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これはincludes/display-role-admin.phpファイルのrole requests admin page handlerのnonceバリデーションが欠落しているためです。これにより、未認証の攻撃者が保留中のロールリクエストを承認し、サイト管理者を騙してリンクをクリックするなどのアクションを実行させることができる、 偽装されたリクエストによってユーザ権限を昇格させることが可能になります。 | 8.8 |
CVE 2026-01-19 09:00:12.479440 |
| CVE-2025-12005 | WordPress 用プラグイン WP VR - 360 Panorama and Free Virtual Tour Builder For WordPress には、8.5.41 までのすべてのバージョンにおいて、データへの不正アクセスの脆弱性があります。これは、プラグインがユーザーがアクションを実行する権限があるかどうかを適切に検証していないことが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、機密性の高いプラグインオプションを変更することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.478365 |
| CVE-2025-11888 | ShopEngine Elementor WooCommerce Builder Addon - All in One WooCommerce Solution plugin for WordPress には、4.8.4 までのすべてのバージョンにおいて、post_deactive() 関数と post_activate() 関数の機能チェックが不十分なため、データが不正に変更される脆弱性があります。このため、Editor レベル以上のアクセス権を持つ認証済みの攻撃者が、ライセンスを有効化および無効化することが可能です。 | 2.7 |
CVE 2026-01-19 09:00:12.477562 |
| CVE-2025-11879 | WordPress 用 GenerateBlocks プラグインは、2.1.1 までのすべてのバージョンにおいて、'get_option_rest' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、SMTP 認証情報、API キー、他のプラグインによって保存されたその他のデータなどの機密情報を含む、任意の WordPress オプションを読み取ることが可能になります。 | 6.5 |
CVE 2026-01-19 09:00:12.476756 |
| CVE-2025-11564 | Tutor LMS - WordPress 用 e ラーニングおよびオンラインコースソリューションプラグインは、"verifyAndCreateOrderData" 関数でウェブフックの署名を検証する際の機能チェックが欠落しているため、データが不正に変更される脆弱性があります。 のウェブフック署名を検証する際のケイパビリティチェックが欠落しています。このため、認証されていない攻撃者は、`payment_type` を 'recurring' に設定した偽造 Webhook リクエストを送信することで、支払い検証を回避し、注文を支払い済みとしてマークすることが可能です。 | 5.3 |
CVE 2026-01-19 09:00:12.475776 |
| CVE-2025-11269 | WordPress 用の Product Filter by WBW プラグインは、3.0.0 までのすべてのバージョンにおいて、'approveNotice' アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。 このため、認証されていない攻撃者がプラグインの設定を更新することが可能です。 | 5.3 |
CVE 2026-01-19 09:00:12.474982 |
| CVE-2025-11244 | WordPress 用 Password Protected プラグインは、2.7.11 までのすべてのバージョンにおいて、IP アドレスのなりすましによる認証バイパスに対して脆弱です。これは、"Use transients" 機能が有効になっているときに、`pp_get_ip_address()` 関数でユーザの IP アドレスを決定するために、プラグインがクライアント制御の HTTP ヘッダ(X-Forwarded-For、HTTP_CLIENT_IP、および同様のヘッダなど)を信頼するためです。このため、"Use transients" オプションが有効で (デフォルト以外の設定)、かつサイトがこれらのヘッダを上書きする CDN やリバースプロキシの背後にない場合、攻撃者はこれらのヘッダを正規に認証されたユーザの IP アドレスに偽装することで、認証をバイパスすることができます。 | 3.7 |
CVE 2026-01-19 09:00:12.474111 |
| CVE-2025-11238 | WordPress 用 Watu Quiz プラグインは、3.4.4 以下のバージョンにおいて、"Save source URL" オプションを有効にした際の入力サニタイズと出力エスケープが不十分なため、HTTP Referer ヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-19 09:00:12.473524 |
| CVE-2025-10737 | WordPress 用のオープンソース Genesis Framework テーマには、3.6.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、テーマのショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.472693 |
| CVE-2025-10694 | User Feedback - Create Interactive Feedback Form, User Surveys, and Polls in Seconds for WordPress プラグインは、1.8.0 までのすべてのバージョンにおいて、 `maybe_load_onboarding_wizard` 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がオンボーディングウィザードページにアクセスし、管理者メールアドレスを含む設定情報を閲覧することが可能になります。 | 5.3 |
CVE 2026-01-19 09:00:12.472193 |
| CVE-2025-11823 | ShopLentor - WooCommerce Builder for Elementor & Gutenberg +21 Modules - All in One Solution plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、3.2.4 までのすべてのバージョンにおいて、'wishsuite_button' ショートコードの 'button_exist_text' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.471679 |
| CVE-2025-10579 | WordPress用プラグインBackWPup - WordPress Backup & Restore Pluginは、5.5.0までのすべてのバージョンにおいて、'backwpup_working' AJAXアクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、バックアップの実行中にバックアップのファイル名へのアクセスを取得することが可能になります。この情報自体にはほとんど価値はありませんが、限られた環境(NGINXなど)でバックアップの内容を取得するための総当たり攻撃に使用できる可能性があります。 | 5.3 |
CVE 2026-01-19 09:00:12.470843 |
| CVE-2025-11760 | eRoom - Webinar & Meeting Plugin for Zoom, Google Meet, Microsoft Teams plugin for WordPress には、1.5.6 までのすべてのバージョンにおいて、機密情報が漏洩する脆弱性があります。これは、このプラグインが会議ビューテンプレート内のクライアントサイドJavaScriptでZoom SDKのシークレットキーを公開していることが原因です。これにより、認証されていない攻撃者が、サーバー側に残すべき sdk_secret 値を抽出することが可能となり、Zoom 統合のセキュリティが損なわれ、攻撃者が不正な会議アクセスのために有効な JWT シグネチャを生成できるようになります。 | 5.3 |
CVE 2026-01-19 09:00:12.470323 |
| CVE-2025-11576 | AI Chatbot Free Models - Customer Support, Live Chat, Virtual Assistant plugin for WordPress には、1.6.5 までのすべてのバージョンにおいて CSV インジェクションの脆弱性があります。これは 'newcodebyte_chatbot_export_messages' 関数のサニタイズが不十分なためです。これにより、認証されていない攻撃者が、エクスポートされた CSV ファイルに信頼されていない入力を埋め込むことが可能となり、これらのファイルがダウンロードされ、脆弱な設定を持つローカルシステムで開かれた場合、コードが実行される可能性があります。 | 4.3 |
CVE 2026-01-19 09:00:12.469427 |
| CVE-2025-10861 | WordPress 用 Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers プラグインは、2.1.4 までのすべてのバージョンにおいて Server-Side Request Forgery の脆弱性があります。これは URL パラメータで提供される URL のバリデーションが不十分なためです。これにより、認証されていない攻撃者がウェブアプリケーションを起点として任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更、ネットワーク偵察に利用される可能性があります。この脆弱性はバージョン 2.1.4 で部分的に修正されました。 | 7.5 |
CVE 2026-01-19 09:00:12.468620 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.