WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-2146 | WordPressプラグインImport CSV Files 1.0は、インポートしたデータをページに出力する前にサニタイズとエスケープを行っておらず、そのような動作を行う際のCSRFチェックも不足しているため、Reflected Cross-Site Scriptingが発生する可能性があります。 | 6.1 |
CVE 2023-11-09 03:00:05.572910 |
| CVE-2022-22734 | 1.3.2までのSimple Quotation WordPressプラグインは、見積書を作成または編集する際にCSRFチェックを行わず、見積書をサニタイズおよびエスケープしません。その結果、攻撃者はログインした管理者に任意の見積書を作成または編集させ、その中にクロスサイトスクリプティングのペイロードを置くことができます。 | 6.1 |
CVE 2023-11-08 23:00:05.688672 |
| CVE-2021-24328 | 1.0 までの WP Login Security and History WordPress プラグインは、設定を保存する際に CSRF チェックを行っておらず、サニタイズやバリデーションも行われていません。このため、ログインした管理者がプラグインの設定を任意の値に変更し、XSS ペイロードを設定することが可能です。 | 6.2 |
CVE 2023-11-08 09:00:08.201535 |
| CVE-2019-14786 | WordPressのRank Math SEOプラグイン1.0.27では、管理者以外のユーザーがwp-admin/admin-post.php reset-cmbパラメーターで設定をリセットすることができます。 | 6.5 |
CVE 2023-11-07 23:00:06.269945 |
| CVE-2020-35933 | WordPress 6.8.2 以前の Newsletter プラグインには、Reflected Authenticated Cross-Site Scripting (XSS) の脆弱性があり、リモート攻撃者は、オプションパラメータに JavaScript を含む tnpc_render AJAX リクエスト、または encoded_options パラメータに JavaScript を含む base64 エンコード JSON ストリングを送信するよう被害者をだますことができます。 | 6.5 |
CVE 2023-11-07 09:00:04.687266 |
| CVE-2021-24370 | 4.6.9 以前の Fancy Product Designer WordPress プラグインでは、認証されていない攻撃者が任意のファイルをアップロードし、リモートでコードが実行される可能性があります。 | 9.8 |
CVE 2023-11-07 09:00:04.684895 |
| CVE-2022-1749 | WPMK Ajax Finder WordPress プラグインは、~/inc/config/create-plugin-config.php ファイルにある createplugin_atf_admin_setting_page() 関数を経由した Cross-Site Request Forgery の脆弱性があります。 | 8.8 |
CVE 2023-11-07 09:00:04.683985 |
| CVE-2022-1750 | WordPress 用 Sticky Popup プラグインは、1.2 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、' popup_title' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、管理者レベル以上の能力を持つ認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、unfiltered_htmlが管理者用に無効化されているサイトや、unfiltered_htmlが管理者用に無効化されているマルチサイト・インストールで主に発生します。 | 4.8 |
CVE 2023-11-07 09:00:04.681140 |
| CVE-2019-9568 | Forminator Contact Form, Poll & Quiz Builder」プラグイン(WordPress用1.6以前)には、攻撃者が削除権限を持っている場合、wp-admin/admin.php?page=forminator-entries entry[] パラメータを介してSQLインジェクションが発生します。 | 6.5 |
CVE 2023-11-07 03:00:05.850291 |
| CVE-2021-24467 | 3.0.0 以前の Leaflet Map WordPress プラグインは、設定を保存する際に CSRF nonce を検証しないため、攻撃者はログインした管理者に Cross-Site Request Forgery 攻撃を介して設定を更新させることができます。この問題は、使用されている JavaScript ライブラリの URL を変更するか、悪意のあるアトリビュートを使用して、プラグインからマップを埋め込んだすべてのページで実行されることにより、クロスサイトスクリプティングの問題を引き起こす可能性があります。 | 6.5 |
CVE 2023-11-06 23:00:03.923641 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.