WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-4205 WordPress 用 Elementor プラグイン Premium Addons には、4.10.31 までのすべてのバージョンにおいて、get_template_content() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が Elementor テンプレートデータを取得することが可能です。 4.3 CVE
2024-09-08 03:00:05.289129
CVE-2024-5418 WordPress 用 DethemeKit For Elementor プラグインは、2.1.4 までのすべてのバージョンにおいて、プラグインの De Product Tab & Slide ウィジェット内の 'slitems' 属性を経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-08 03:00:05.287228
CVE-2024-5345 WordPress 用 Elementor プラグイン Responsive Owl Carousel には、1.2.0 までのすべてのバージョンにおいて、 layout パラメータを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これは、画像やその他の「安全な」ファイルタイプをアップロードしてインクルードできる場合に、アクセス制御を回避したり、機密データを取得したり、コードを実行したりするために使用できます。インクルードは PHP ファイルに限定されます。 8.8 CVE
2024-09-08 03:00:05.284295
CVE-2024-5326 Post Grid Gutenberg Blocks and WordPress Blog Plugin - PostX plugin for WordPress は、4.1.2 までのすべてのバージョンにおいて、'postx_presets_callback' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイト上の任意のオプションを変更することが可能になります。これは、新規ユーザ登録を有効にし、新規ユーザのデフォルトのロールを管理者に設定するために使用できます。 8.8 CVE
2024-09-07 09:00:04.696510
CVE-2024-3583 WordPress 用 Simple Like Page Plugin プラグインは、1.5.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 09:00:04.695633
CVE-2024-4668 WordPress 用 Gum Elementor Addon プラグインには、1.3.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Price Table ウィジェットおよび Post Slider ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 09:00:04.694777
CVE-2024-4427 WordPress 用 Comparison Slider プラグインは、1.0.5 までのすべてのバージョンにおいて、いくつかの AJAX アクションのケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーアクセス以上の認証された攻撃者がプラグインの設定を変更したり、スライダーを削除するなどのアクションを実行することが可能になります。 4.3 CVE
2024-09-07 09:00:04.693921
CVE-2024-4426 WordPress 用 Comparison Slider プラグインには、1.0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、AJAXアクションにフックされたいくつかの関数におけるnonceバリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる偽造リクエストを介して、スライダーのタイトルを変更したり、スライダーを削除したり、プラグインの設定を変更したりすることが可能になります。 4.3 CVE
2024-09-07 09:00:04.692996
CVE-2024-4422 WordPress 用の Comparison Slider プラグインは、1.0.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、スライダーのタイトルパラメーターを経由した Stored Cross-Site Scripting の脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2024-09-07 09:00:04.692122
CVE-2024-4355 Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection plugin for WordPress は、10.24 までのすべてのバージョンにおいて、stopbadbots_get_ajax_data() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、訪問者のデータを公開することが可能になります。 4.3 CVE
2024-09-07 09:00:04.691365
CVE-2024-2657 WordPress 用 Font Farsi プラグインは、1.6.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 4.4 CVE
2024-09-07 09:00:04.690433
CVE-2024-2089 WordPress 用の Remote Content Shortcode プラグインは、1.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'remote_content' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-09-07 09:00:04.687667
CVE-2024-5327 PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) plugin for WordPress は、2.7.19 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'pp_animated_gradient_bg_color' パラメータを経由した DOM-Based Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 6.4 CVE
2024-09-07 03:00:06.336761
CVE-2024-5073 Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、5.9.21 までのすべてのバージョンにおいて Twitter Feed コンポーネントを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.336128
CVE-2024-5341 The Plus Addons for Elementor Page Builder plugin for WordPress は、5.5.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、見出しタイトルウィジェットの 'size' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.335380
CVE-2024-4356 WordPress 用 List categories プラグインは、0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'categories' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.334159
CVE-2024-4218 WordPress 用 AffiEasy プラグインは、1.1.7 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、プラグインがタグ付けされたバージョンとパッチを適用したバージョンを不適切にリリースしていることが原因です。脆弱性のあるバージョンはコアファイルとして使用され、パッチを適用したバージョンは「trunk」フォルダに含まれています。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる、付与された偽造リクエストを介して様々なアクションを実行することが可能になります。 6.5 CVE
2024-09-07 03:00:06.333522
CVE-2024-3947 WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_settings() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、 偽装されたリクエストを使ってプラグインの設定を変更することが可能になります。 4.3 CVE
2024-09-07 03:00:06.332839
CVE-2024-3946 WordPress 用 WP To Do プラグインは、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 4.4 CVE
2024-09-07 03:00:06.332204
CVE-2024-3945 WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_manage() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、 偽装されたリクエストを使って新しい ToDo アイテムを追加することが可能になります。 4.3 CVE
2024-09-07 03:00:06.331593
CVE-2024-3943 WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_addcomment 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使って、to do アイテムにコメントを追加することが可能になります。 4.3 CVE
2024-09-07 03:00:06.330978
CVE-2024-3277 Yumpu ePaper publishing plugin for WordPress は、2.0.24 までのすべてのバージョンにおいて、ajax_handler 関数のケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。このため、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、PDF ファイルをアップロードして公開したり、API キーを変更したりすることが可能です。 5.0 CVE
2024-09-07 03:00:06.330359
CVE-2024-5223 Post Grid Gutenberg Blocks and WordPress Blog Plugin - PostX plugin for WordPress には、4.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、プラグインのファイルアップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.329621
CVE-2024-3269 WordPress 用 Download Monitor プラグインは、4.9.13 までのすべてのバージョンにおいて、dlm_uninstall_plugin 関数の機能チェックが欠落しているため、機能への不正アクセスの脆弱性があります。これにより、認証された攻撃者がプラグインをアンインストールし、そのデータを削除することが可能になります。 5.4 CVE
2024-09-07 03:00:06.328937
CVE-2024-3190 WordPress 用 Unlimited Elements For Elementor (Free Widgets, Addons, Templates) プラグインは、1.5.107 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのテキストフィールドウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この脆弱性は、外部テンプレートに起因するという点で異なることに注意してください。このため、古いバージョンにもパッチが適用される可能性があるようですが、既知のパッチを含む最新バージョンである1.5.108をパッチを適用したバージョンとして選択します。 5.4 CVE
2024-09-07 03:00:06.328136
CVE-2024-3063 WordPress 用 WPB Elementor Addons プラグインには、1.0.9 までのすべてのバージョンにおいて、ウィジェットに追加された 'tags' の出力を経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.327406
CVE-2024-2253 WordPress 用 Testimonial Carousel For Elementor プラグインは、10.2.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのカルーセルウィジェットの URL 値を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.326634
CVE-2024-3726 WordPress 用の Login Logout Register Menu プラグインは、2.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'llrmloginlogout' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-07 03:00:06.324090
CVE-2024-5039 WordPress 用プラグイン HUSKY - Products Filter Professional for WooCommerce は、1.3.5.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-09-06 09:00:07.456299
CVE-2024-3412 WP STAGING WordPress Backup Plugin - Migration Backup Restore plugin for WordPress は、3.4.3 までのすべてのバージョンにおいて、wpstg_processing AJAX アクションのファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 9.1 CVE
2024-09-06 09:00:07.453900
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.