WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1442 | WordPress プラグイン Metform には、 ~/core/forms/action.php ファイルにおける不適切なアクセス制御による機密情報漏洩の脆弱性があり、認証されていない攻撃者が、PayPal, Stripe, Mailchimp, Hubspot, HelpScout, reCAPTCHA など、統合されたサードパーティ API のすべての API キーと機密情報を、バージョン 2.1.3 までを含めて閲覧できるようにすることができます。 | 7.5 |
CVE 2023-10-31 09:00:04.542240 |
| CVE-2022-1453 | WordPress 用プラグイン RSVPMaker には、rsvpmaker-util.php ファイル内の SQL クエリに渡されるユーザ提供データの SQL エスケープおよびパラメータ化の欠落により、未認証の SQL インジェクションの脆弱性が存在します。このため、9.2.5 までのバージョンでは、未認証の攻撃者がデータベースから機密情報を盗むことが可能になります。 | 7.5 |
CVE 2023-10-31 09:00:04.541657 |
| CVE-2021-24405 | Easy Cookies Policy WordPress プラグイン 1.6.2 は、設定を保存する際の機能と CSRF チェックが欠落しており、認証されたユーザ(登録者等)であれば誰でも設定を変更することが可能です。ユーザーが登録できない場合は、CSRFによって変更することができます。さらに、フロントエンドとバックエンドのすべてのページで出力される前に、クッキーバナーの設定がサニタイズまたは検証されないため、保存されたクロスサイトスクリプティングの問題が発生します。 | 6.5 |
CVE 2023-10-31 03:00:04.750645 |
| CVE-2021-24947 | 6.4.2 以前の RVM WordPress プラグインは、rvm_import_regions AJAX アクションの rvm_upload_regions_file_path パラメータに適切な認証、CSRF チェック、検証を行っていないため、購読者などの認証済みユーザがウェブサーバの任意のファイルを読み込む可能性があります。 | 6.5 |
CVE 2023-10-30 23:00:05.359278 |
| CVE-2021-24928 | 3.0.8 以前の Rearrange Woocommerce Products WordPress プラグインは、save_all_order AJAX アクションに適切なアクセスコントロールがなく、SQL 文にユーザーデータを挿入する際の検証やエスケープも行われていないため、SQL インジェクションにつながり、購読者などの認証済みユーザーが任意の投稿内容を変更したり(XSS ペイロードなど)、他の投稿にコピーしてデータを取得したりできる可能性があります。 | 6.5 |
CVE 2023-10-30 09:00:05.247605 |
| CVE-2021-38312 | Gutenberg Template Library & Redux Framework プラグイン <= 4.2.11 for WordPress は、 "redux-templates/classes/class-api.php" の "redux/v1/templates/" REST Route に登録された REST API エンドポイントにおいて不正な認証チェックを行っています。このファイルで使用されている `permissions_callback` は、コントリビューターなどの低特権ユーザーに付与される `edit_posts` 機能のみをチェックし、そのようなユーザーが WordPress リポジトリから任意のプラグインをインストールし、任意の投稿を編集できるようにするものでした。 | 6.5 |
CVE 2023-10-30 03:00:05.951327 |
| CVE-2022-1843 | 7.2.1 までの MailPress WordPress プラグインは、各所に CSRF チェックがないため、攻撃者がログインした管理者に CSRF 攻撃で設定変更、ログファイルのパージなどをさせる可能性があります。 | 6.5 |
CVE 2023-10-29 23:00:05.174794 |
| CVE-2022-0779 | 2.4.4 以前の User Meta WordPress プラグインは、その um_show_uploaded_file AJAX アクションの filepath パラメータを検証しないため、サブスクライバなどの低権限ユーザがパストラバーサルペイロードを介してウェブサーバのローカルファイルを列挙することができる可能性があります。 | 6.5 |
CVE 2023-10-29 09:00:07.748417 |
| CVE-2021-24595 | WordPress プラグイン Wp Cookie Choice 1.1.0 は、オプションの保存時に CSRF チェックを行わず、また属性に出力する際にもエスケープしません。そのため、ログインしている管理者が CSRF 攻撃を受けると、XSS ペイロードを含む任意の値に変更させられる可能性があります。 | 6.5 |
CVE 2023-10-29 03:00:04.341252 |
| CVE-2021-25121 | 1.6以前のRating by BestWebSoft WordPressプラグインは、投稿された評価を検証しないため、長い整数の投稿が可能で、ユーザーがそのような評価を投稿すると投稿/ページのサービス拒否の原因となります。 | 6.5 |
CVE 2023-10-28 23:00:04.599817 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.