見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2021-24566 | 1.3.7 以前の WooCommerce Currency Switcher FOX WordPress プラグインには、"woocs" ショートコードを経由した LFI 攻撃の脆弱性があります。 | 8.8 |
CVE 2024-04-20 03:00:05.838603 |
CVE-2021-24559 | 0.7以前のQyrr WordPressプラグインは、QRコードのdata-uriをsrc属性で出力する際にエスケープしておらず、クロスサイトスクリプティング攻撃を許していました。さらに、data_uri_to_meta AJAXアクションは、すべての認証済みユーザが利用可能ですが、CSRFチェックしか行われておらず、Contributor以下のロールを持つユーザがnonceを利用できるため、そのようなロール(およびそれ以上)を持つユーザであれば、任意のQRコード投稿に悪意のあるdata-uriを設定することができ、Stored Cross-Site Scripting問題につながります。 | 5.4 |
CVE 2024-04-20 03:00:05.838027 |
CVE-2021-24433 | 0.0.3までのsimple sort&search WordPressプラグインは、ショートコード "category_sims"、"order_sims"、"orderby_sims"、"period_sims"、および "tag_sims "のindexurlパラメータが許可されたURLプロトコルを使用していることを確認していません。 | 5.4 |
CVE 2024-04-20 03:00:05.837526 |
CVE-2021-24432 | Advanced AJAX Product Filters WordPressプラグインは、ページに出力する前に'term_id'POSTパラメータをサニタイズしないため、クロスサイトスクリプティングの問題が反映されます。 | 6.1 |
CVE 2024-04-20 03:00:05.836998 |
CVE-2021-24151 | 1.2.7より前のWP Editor WordPressプラグインは、設定フィールドをサニタイズまたは検証しておらず、設定を保存するリクエストを行う際に、任意のパラメータを介して認証済み(管理者以上)のブラインドSQLインジェクション問題を引き起こします。 | 7.2 |
CVE 2024-04-20 03:00:05.836471 |
CVE-2023-6991 | 2.7.1 より前の JSM file_get_contents() Shortcode WordPress プラグインは、ショートコードへのリクエストを行う前にショートコードのパラメータの 1 つを検証しないため、contributor ロール以上のユーザが SSRF 攻撃を実行できる可能性があります。 | 8.8 |
CVE 2024-04-20 03:00:05.835905 |
CVE-2023-6941 | 1.0.11までのKeap Official Opt-in Forms WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-04-20 03:00:05.835377 |
CVE-2023-6843 | easy.jobs- Best Recruitment Plugin for Job Board Listing, Manager, Career Page for Elementor & Gutenberg WordPress plugin 2.4.7 以前のプラグインでは、AJAXアクションの一部が適切に保護されていないため、ログインしているユーザーが設定を変更できてしまいます。 | 4.3 |
CVE 2024-04-20 03:00:05.834775 |
CVE-2023-6623 | 4.4.3以前のEssential Blocks WordPressプラグインは、REST API経由でテンプレートをレンダリングする際に、認証されていない攻撃者がローカル変数を上書きすることを防止していません。 | 9.8 |
CVE 2024-04-20 03:00:05.834207 |
CVE-2023-6620 | 2.8.7以前のPOST SMTP Mailer WordPressプラグインは、SQL文で使用する前にいくつかのパラメータを適切にサニタイズおよびエスケープしていないため、adminなどの高権限ユーザーが悪用可能なSQLインジェクションにつながります。 | 7.2 |
CVE 2024-04-20 03:00:05.833596 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.