見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2022-0140 | 3.0.6 より前の Visual Form Builder WordPress プラグインは入力フォームのエクスポートでアクセス制御を行っておらず、認証されていないユーザがフォームの入力を見たり、vfb-export エンドポイントを使って CSV ファイルとしてエクスポートしたりできます。 | 5.3 |
CVE 2023-09-11 09:00:06.237682 |
CVE-2022-0837 | 1.0.48 以前の Amelia WordPress プラグインは、Amelia SMS サービスを扱う際に適切な権限を持っていないため、任意の顧客が有料テストの SMS 通知を送信したり、メール、アカウント残高、支払い履歴など、管理者に関する機密情報を取得したりすることが可能です。この脆弱性を悪用し、SMS を送信し続けることで、口座残高を引き出される可能性があります。 | 5.4 |
CVE 2023-09-11 09:00:06.236245 |
CVE-2022-0229 | 5.5以前のminiOrangeのGoogle Authenticator WordPressプラグインは、reconfigureMethodを処理する際に適切な認証とCSRFチェックを行っておらず、渡されたパラメータを適切に検証していない。その結果、認証されていないユーザがブログから任意のオプションを削除し、使用不能にする可能性がある。 | 8.1 |
CVE 2023-09-11 09:00:06.234743 |
CVE-2022-0377 | 4.1.5以前のLearnPress WordPressプラグインのユーザーは、登録後にプロフィールアバターとして画像をアップロードすることができます。 このプロセスの後、ユーザーは画像を切り抜いて保存します。その後、画像のリネームとトリミングのために、ユーザが提供した画像の名前を含む "POST "リクエストがサーバに送信されます。このリクエストの結果、ユーザが入力した画像の名前がMD5値で変更されます。この処理は、画像のタイプが JPG または PNG の場合にのみ実行可能である。攻撃者はこの脆弱性を利用して、任意の画像ファイルの名前を変更することができる。これにより、ウェブサイトのデザインを破壊することができる。 | 4.3 |
CVE 2023-09-11 09:00:06.233955 |
CVE-2022-0345 | 1.8.7以前のCustomize WordPress Emails and Alerts WordPressプラグインでは、bnfw_search_users AJAXアクションに認証とCSRFチェックがないため、認証されたユーザーであれば誰でも呼び出すことができ、ユーザーのEメール接頭辞を照会することができます(最初の1文字、次に2文字目、次に3文字目など)。 | 4.3 |
CVE 2023-09-11 09:00:06.233288 |
CVE-2022-0164 | 3.5.3より前のComing soon and Maintenance mode WordPressプラグインでは、coming_soon_send_mail AJAXアクションに認証とCSRFチェックがないため、認証されたユーザーであれば、購読者程度のロールを持つすべての購読ユーザーに任意のメールを送信することができます。 | 4.3 |
CVE 2023-09-11 09:00:06.232603 |
CVE-2022-1791 | 2.4.14 までの One Click Plugin Updater WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、攻撃者がログインした管理者に CSRF 攻撃で設定を変更させ、利用可能な更新と関連するチェックのバッジを無効化/非表示にすることができる可能性があります。 | 8.1 |
CVE 2023-09-11 03:00:06.017357 |
CVE-2021-39341 | WordPress プラグイン OptinMonster には、~/OMAPI/RestApi.php ファイル内の logged_in_or_has_api_key 関数による認証が不十分なため、機密情報の漏洩や不正な設定更新の脆弱性があり、プラグインをインストールしたサイトに悪質なウェブスクリプトを注入するために使用することが可能です。この問題は、2.6.4 までのバージョンに影響します。 | 8.2 |
CVE 2023-09-10 09:00:06.302610 |
CVE-2021-36823 | Auth.WordPress Absolutely Glamorous Custom Admin プラグイン <= 6.8 バージョンに保存されたクロスサイトスクリプティング (XSS) の脆弱性です。 | 8.2 |
CVE 2023-09-10 03:00:05.862182 |
CVE-2018-16966 | mndpsingh287 File Manager プラグイン 3.0 for WordPress には、page=wp_file_manager_root public_path パラメータによる CSRF の脆弱性が存在します。 | 8.8 |
CVE 2023-09-09 23:00:04.258485 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.