見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2021-24651 | 3.4.2 以前の Poll Maker WordPress プラグインでは、未認証のユーザーが ays_finish_poll AJAX アクションを経由して SQL インジェクションを実行することが可能です。結果はレスポンスで開示されませんが、タイミング攻撃により、パスワードハッシュなどのデータを流出させることが可能です。 | 7.5 |
CVE 2023-09-24 03:00:04.728139 |
CVE-2020-11738 | 1.3.28 以前の WordPress 用 Snap Creek Duplicator プラグイン(および 3.8.7.1 以前の Duplicator Pro)では、 duplicator_download または duplicator_init へのファイルパラメータに ../ を使用したディレクトリトラバーサルを許可しています。 | 7.5 |
CVE 2023-09-23 23:00:04.350425 |
CVE-2021-24906 | 3.6.2 以前の Protect WP Admin WordPress プラグインは lib/pwa-deactivate.php ファイルで認証をチェックしないため、認証されていないユーザーが細工したリクエストを介してプラグイン(および提供される保護機能)を無効化できる可能性があります。 | 7.5 |
CVE 2023-09-23 09:00:04.389102 |
CVE-2021-25002 | Tipsacarrier WordPress プラグイン 1.5.0.5 以前のバージョンでは、一部の機能で認証チェックが行われていないため、認証されていないユーザーがオーダーのデータにアクセスし、トラッキング URL を通じてクライアントの住所、氏名、電話番号を取得することができる可能性があります。 | 7.5 |
CVE 2023-09-23 03:00:05.768069 |
CVE-2020-11928 | WordPress 2.82以前のmedia-library-assistantプラグインでは、管理者経由でmla_galleryのtax_query、meta_query、date_queryパラメータを経由してリモートコード実行が可能です。 | 9.8 |
CVE 2023-09-23 03:00:05.767367 |
CVE-2022-1412 | Log WP_Mail WordPress plugin through 0.1 は、送信されたメールを予測可能なファイル名で一般にアクセス可能なディレクトリに保存するため、認証されていない訪問者が、生成されたパスワードなどの潜在的に重要な情報を取得できるようになります。 | 7.5 |
CVE 2023-09-22 03:00:05.518352 |
CVE-2022-1801 | 11.6 以前の Very Simple Contact Form WordPress プラグインは、レンダリングされたコンタクトフォームのキャプチャの解決策を、隠し入力フィールドやページ内のプレーンテキストとして公開しています。 | 7.5 |
CVE 2023-09-21 23:00:03.814314 |
CVE-2022-0828 | 3.2.34より前のDownload Manager WordPressプラグインは、ダウンロードのマスターキーを生成するためにuniqid php関数を使用しており、ダウンロードに設定された役割ベースの制限やパスワード保護に関係なく、攻撃者が合理的なリソースでキーを総当たりで取得し、ダウンロードに直接アクセスできるようにしています。 | 7.5 |
CVE 2023-09-21 09:00:04.221482 |
CVE-2022-0214 | 1.3.1以前のCustom Popup Builder WordPressプラグインは、各ページのポップアップからデータを自動ロードします。このようなデータは認証されていないユーザーによって送信される可能性があり、長さが検証されていないため、ブログのサービス拒否を引き起こす可能性があります。 | 7.5 |
CVE 2023-09-21 03:00:04.761859 |
CVE-2021-24893 | 3.5.1 以前の WordPress プラグインでは、送信された評価を検証しないため、長い整数の送信が可能になり、ユーザーが未認証で送信したか認証済みで送信したかによって、コメント欄や保留中のコメントダッシュボードに Denial of Service が発生することがあります。 | 7.5 |
CVE 2023-09-20 23:00:04.080321 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.