WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-0191 | 1.2.7 以前の WordPress プラグイン Ad Invalid Click Protector (AICP) は、禁止されたユーザーを削除する CSRF チェックを行っていないため、攻撃者がログインした管理者に任意の禁止を削除させることができる可能性があります。 | 6.5 |
CVE 2023-10-16 03:00:05.267988 |
| CVE-2022-1576 | 2.4.5 以前の WP Maintenance Mode & Coming Soon WordPress プラグインは、購読ユーザーリストを空にする際に CSRF が欠けており、CSRF 攻撃によってログインした管理者にその動作を実行させることが可能です。 | 6.5 |
CVE 2023-10-15 23:00:03.708155 |
| CVE-2022-0404 | 2.6.4 までの Material Design for Contact Form 7 WordPress プラグインは、cf7md_dismiss_notice アクションへのリクエストを処理する際に、認可や通知パラメータに記載されたオプションがプラグインに属するかどうかをチェックしません。これにより、ログインしたユーザー (Subscriber 以下のロール) で任意のオプションを true に設定でき、サイトを破壊してサービス拒否に至る可能性があります。 | 6.5 |
CVE 2023-10-15 09:00:04.094041 |
| CVE-2021-25116 | Enqueue Anything WordPress プラグイン 1.0.1 までは remove_asset AJAX アクションに認証と CSRF チェックがなく、削除されるアイテムが実際にアセットであることを保証していません。その結果、subscriber のような低権限のユーザが任意のアセットを削除したり、任意の投稿をゴミ箱に入れたりすることが可能です。 | 6.5 |
CVE 2023-10-15 03:00:06.890112 |
| CVE-2022-1570 | 1.0.7以前のFiles Download Delay WordPressプラグインは、設定をリセットする際に認証とCSRFチェックを行っていないため、購読者などの認証済みユーザーであれば、そのような行為を行うことができる可能性があります。 | 6.5 |
CVE 2023-10-14 23:00:05.210138 |
| CVE-2020-4047 | 影響を受けるバージョンの WordPress では、アップロード権限を持つ認証済みユーザー (作者など) が、一部のメディアファイル添付ページに特定の方法で JavaScript を注入することが可能です。これにより、より高い権限を持つユーザーがファイルを閲覧した際に、そのユーザーのコンテキストでスクリプトが実行される可能性があります。この問題は、バージョン 5.4.2 で修正され、マイナーリリースを通じて以前に影響を受けたすべてのバージョン (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34) でも修正されています。 | 6.8 |
CVE 2023-10-14 09:00:04.787233 |
| CVE-2016-8633 | 4.8.7 以前の Linux カーネルの drivers/firewire/net.c は、特定の異常なハードウェア構成において、リモート攻撃者が細工した断片化パケットを介して任意のコードを実行する可能性があります。 | 6.8 |
CVE 2023-10-14 03:00:06.241954 |
| CVE-2019-20180 | WordPress用TablePressプラグイン1.9.2では、Editorユーザーによるtablepress[data]のCSVインジェクションが可能になりました。 | 6.8 |
CVE 2023-10-13 23:00:03.927382 |
| CVE-2022-31466 | Quick Heal Total Security 12.1.1.27 以前のバージョンには、TOCTOU (Time of Check - Time of Use) の脆弱性があり、ローカル攻撃者が特権昇格を達成し、システムファイルの削除に至る可能性があります。これは、悪意のあるファイルとして検出されてから、隔離またはクリーニングのアクションが実行されるまでの時間を悪用し、その時間を使用して悪意のあるファイルをシンボリックリンクで置き換えることで実現されます。 | 7.0 |
CVE 2023-10-13 09:00:06.611222 |
| CVE-2021-25095 | 2.26.5 以前の IP2Location Country Blocker WordPress プラグインは、ip2location_country_blocker_save_rules AJAX アクションに認証と CSRF チェックがないため、購読者などの任意の認証済みユーザーがこれを呼び出して任意の国をブロックしたり、一度にすべての国をブロックしてユーザーがフロントエンドにアクセスできないようにすることが可能です。 | 7.1 |
CVE 2023-10-13 03:00:06.883764 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.