WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2021-24779 | 2.11.0 以前の WP Debugging WordPress プラグインは、その update_settings() 関数が admin_init にフックされており、認証と CSRF のチェックが欠落しているため、結果として未認証のユーザが設定を更新することができます。 | 6.5 |
CVE 2023-11-01 03:00:08.054073 |
| CVE-2021-24642 | Scroll Baner WordPress プラグイン 1.0 は、設定を保存する際に CSRF チェックを行わず、サニタイズ、エスケープ、バリデーションも行いません。このため、ログインしている管理者に設定を変更させることができ、XSS と同様に RCE (ファイルアップロード経由) につながる可能性があります。 | 6.5 |
CVE 2023-10-31 23:00:05.331165 |
| CVE-2022-1560 | 3.8 以前の Amministrazione Aperta WordPress プラグインは、include 文で使用する前に open パラメータを検証しないため、ローカルファイルのインクルージョン問題が発生します。オリジナルの勧告では、未認証のユーザーがこれを悪用できると言及していますが、影響を受けるファイルに直接アクセスすると致命的なエラーが発生し、影響を受けるコードに到達することはありません。この問題は、管理者としてログインしているときにダッシュボード経由で悪用されるか、ログインしている管理者に悪意のあるリンクを開かせることによって悪用される可能性があります。 | 6.5 |
CVE 2023-10-31 09:00:04.548983 |
| CVE-2019-18855 | WordPress 用の safe-svg (別名 Safe SVG) プラグイン 1.9.4 に、潜在的に不要な要素や属性に関連するサービス拒否の脆弱性が存在します。 | 7.5 |
CVE 2023-10-31 09:00:04.546969 |
| CVE-2019-18854 | Safe-svg (別名 Safe SVG) プラグイン 1.9.4 for WordPress に、'<use ... xlink:href="#identifier">' サブ文字列の無制限再帰に関連するサービス拒否の脆弱性が存在します。 | 7.5 |
CVE 2023-10-31 09:00:04.546391 |
| CVE-2022-1505 | WordPress 用プラグイン RSVPMaker には、SQL エスケープと rsvpmaker-api-endpoints.php ファイル内の SQL クエリに渡されるユーザ提供データのパラメータ化が欠けているため、未認証の SQL インジェクションの脆弱性があります。このため、9.2.6 までのバージョンでは、未認証の攻撃者がデータベースから機密情報を盗むことが可能になります。 | 7.5 |
CVE 2023-10-31 09:00:04.545794 |
| CVE-2022-1707 | WordPress 用プラグイン Google Tag Manager for WordPress には、1.15 までのバージョンでサニタイズが不十分なサイトのデータ層にサイト検索がポップアップすることにより、s パラメータを介して反射的にクロスサイトスクリプティングを受ける脆弱性があります。影響を受けるファイルは ~/public/frontend.php で、未認証の攻撃者に悪用される可能性があります。 | 6.1 |
CVE 2023-10-31 09:00:04.545232 |
| CVE-2022-1822 | WordPress 用 Zephyr Project Manager プラグインは、3.2.40 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「project」パラメータ経由で Reflected Cross-Site Scripting を受ける可能性があります。このため、認証されていない攻撃者が、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページに注入し、実行することが可能になります。 | 6.1 |
CVE 2023-10-31 09:00:04.544634 |
| CVE-2022-1900 | WordPress 用の Copify プラグインは、1.3.0 までのバージョンで Cross-Site Request Forgery の脆弱性があります。これは、CopifySettings のページで nonce の検証が行われていないことが原因です。これにより、認証されていない攻撃者がプラグインの設定を更新し、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 8.8 |
CVE 2023-10-31 09:00:04.544042 |
| CVE-2022-1186 | WordPress プラグイン Be POPIA Compliant は、1.1.5 までのバージョンで、サイト訪問者の電子メールとユーザ名からなる機密情報を API 経由で認証されていないユーザに公開していました。 | 5.3 |
CVE 2023-10-31 09:00:04.543482 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.