見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2021-24845 | Improved Include Page WordPress プラグイン 1.2 では、任意のコンテンツを取得するために使用できる post_type & post_status を持つショートコード属性を渡すことができます。この方法では、Contributor のような低いロールのユーザが、本来アクセスできないはずのコンテンツにアクセスすることができます。 | 6.5 |
CVE 2023-10-28 09:00:06.860655 |
CVE-2022-1827 | 4.2.2 までの PDF24 Article To PDF WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者に CSRF 攻撃で設定を変更させられる可能性があります。 | 6.5 |
CVE 2023-10-28 03:00:05.044687 |
CVE-2022-1828 | 4.2.2 までの PDF24 Articles To PDF WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者に CSRF 攻撃で設定を変更させられる可能性があります。 | 6.5 |
CVE 2023-10-27 23:00:05.232453 |
CVE-2022-1630 | 2.69.0 以前の WP-EMail WordPress プラグインは、ログ削除機能を nonce チェックで保護していないため、攻撃者はログインした管理者に CSRF 攻撃でログを削除させることが可能です。 | 6.5 |
CVE 2023-10-27 09:00:03.644201 |
CVE-2022-1826 | WordPress の Cross-Linker プラグイン 3.0.1.9 までは、Cross-Link を作成する際に CSRF チェックを行わないため、CSRF 攻撃により、ログインしている管理者にその動作を実行させることが可能です。 | 6.5 |
CVE 2023-10-27 03:00:05.532304 |
CVE-2022-1832 | 0.5.8.2 までの CaPa Protect WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、攻撃者がログインした管理者に CSRF 攻撃で設定を変更させ、適用した保護を無効化させることが可能な場合があります。 | 6.5 |
CVE 2023-10-26 23:00:05.417884 |
CVE-2022-1967 | 9.3 以前の WordPress プラグイン WP Championship には、CSRF チェックが各所に欠けており、攻撃者はログインした管理者に、任意のチームの作成と削除、およびプラグインの設定の更新などの不要なアクションを実行させることができるようになります。また、サニタイズとエスケープが行われていないため、Stored Cross-Site Scripting の問題にもつながる可能性があります。 | 6.5 |
CVE 2023-10-26 09:00:04.198817 |
CVE-2022-0830 | FormBuilder WordPress プラグイン 1.08 は、フォームの作成/更新/削除時に CSRF チェックを行わず、フォームフィールド値のサニタイズおよびエスケープを行っていません。その結果、攻撃者はログインした管理者に CSRF 攻撃によって任意のフォームを更新・削除させ、そのフォームにクロスサイトスクリプティングのペイロードを仕込むことが可能になります。 | 6.5 |
CVE 2023-10-26 03:00:14.001449 |
CVE-2022-1790 | 0.5.2 までの New User Email Set Up WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、CSRF 攻撃によりログインした管理者に設定を変更させられる可能性があります。 | 6.5 |
CVE 2023-10-25 23:00:07.246450 |
CVE-2022-1476 | WordPress 用プラグイン All-in-One WP Migration には、7.58 までのバージョンで ~/lib/model/class-ai1wm-backups.php ファイルを経由したファイル検証が不十分なため、ディレクトリトラバーサルにより任意のファイルを削除される脆弱性が存在します。この問題は、管理者やサイトの秘密鍵にアクセスできるユーザによって悪用される可能性があります。 | 6.5 |
CVE 2023-10-25 09:00:04.027775 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.