WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1961 | Google Tag Manager for WordPress (GTM4WP) プラグインは、バージョン 1.15.1 までは、 `~/public/frontend.php` ファイルにある `gtm4wp-options[scroller-contentid]` パラメータによるエスケープが不十分で、任意のウェブスクリプトを注入できるため、Stored Cross-Site Scripting の脆弱性が存在しました。この問題は、unfiltered_html が管理者権限で無効になっているマルチサイト・インストールや、unfiltered_html が無効になっているサイトに影響します。 | 4.8 |
CVE 2023-11-03 09:00:04.343821 |
| CVE-2022-1969 | WordPress の Mobile browser color select プラグインは、1.0.1 までのバージョンで Cross-Site Request Forgery の脆弱性があります。この問題は、admin_update_data() 関数の nonce バリデーションが欠落しているか、不正確であることに起因しています。このため、認証されていない攻撃者は、サイト管理者がリンクをクリックするなどのアクションを実行するよう、付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 8.8 |
CVE 2023-11-03 09:00:04.343119 |
| CVE-2021-24761 | 1.1.2 以前の Error Log Viewer WordPress プラグインは、ログファイルを削除する際に nonce チェックを行わず、パストラバーサル防止機能も備えていないため、攻撃者がログインした管理者にウェブサーバ上の任意のテキストファイルを削除させる可能性があります。 | 6.5 |
CVE 2023-11-03 03:00:05.743570 |
| CVE-2021-24333 | WordPress の Content Copy Protection & Prevent Image Save プラグイン 1.3 は、設定保存時に CSRF チェックを行わず、検証やサニタイズも行わないため、ログインした管理者が設定に任意の XSS ペイロードを設定できるようになります。 | 6.5 |
CVE 2023-11-02 23:00:03.882709 |
| CVE-2021-34647 | WordPress プラグイン Ninja Forms には、3.5.7 までのバージョンで ~/includes/Routes/Submissions.php ファイルにある bulk_export_submissions 関数を介して機密情報を開示される脆弱性があります。これにより、認証された攻撃者は個人を特定できる情報を含むすべての忍者フォームの送信データを /ninja-forms-submissions/export REST API 経由でエクスポートすることができます。 | 6.5 |
CVE 2023-11-02 09:00:05.295939 |
| CVE-2019-16985 | v4.5.7までのFusionPBXでは、appxml_cdr_delete.phpがURLから来るサニタイズされていないrec変数を使用しており、これがbase64デコードされてシステムの任意のファイルの削除を可能にしています。 | 6.5 |
CVE 2023-11-02 03:00:03.754468 |
| CVE-2021-25097 | LabTools WordPress プラグイン 1.0 には、出版物を削除する際に適切な認証と CSRF チェックがないため、購読者などの認証されたユーザーが任意の出版物を削除することが可能です。 | 6.5 |
CVE 2023-11-01 23:00:04.505283 |
| CVE-2022-0750 | Photoswipe Masonry Gallery WordPress プラグインは、~/photoswipe-masonry.php ファイルにある thumbnail_width、thumbnail_height、max_image_width、max_image_height パラメータのエスケープとサニタイズが不十分なため、クロスサイトスクリプティングの脆弱性があり、認証された攻撃者がプラグインで作成されたギャラリーと PhotoSwipe Options ページに任意のウェブスクリプトを注入することができます。この問題は1.2.14までのバージョンに影響します。 | 5.4 |
CVE 2023-11-01 23:00:04.504282 |
| CVE-2022-0992 | WordPress 用 SiteGround Security プラグインには、認証されていないユーザが管理ユーザとしてログインできてしまう認証バイパスの脆弱性があり、最初の 2FA セットアップで本人確認が行われないため、認証されていない未認証のユーザが保留中のアカウントの 2FA を設定できてしまいます。設定に成功すると、攻撃者は、想定される最初の認証であるユーザ名/パスワードのペアにアクセスすることなく、そのユーザとしてログインされる。これは1.2.5までのバージョンに影響します。 | 9.8 |
CVE 2023-11-01 23:00:04.503504 |
| CVE-2019-16986 | v4.5.7までのFusionPBXでは、resourcesdownload.phpでURLから来るサニタイズされていない "f "変数を使用し、任意のパス名を取ってダウンロードできるようにしています。(resourcessecure_download.phpも影響を受けます) | 6.5 |
CVE 2023-11-01 09:00:04.985142 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.