WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (1660)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2019-9913 WordPressの8.0.18以前のwp-live-chat-supportプラグインには、wp-admin/admin.php?page=wplivechat-menu-gdpr-page項のXSSがあります。 6.1 CVE
2023-06-05 09:00:51.387038
CVE-2018-16967 mndpsingh287 File Manager プラグイン 3.0 for WordPress には、page=wp_file_manager_root public_path パラメーターによる XSS の脆弱性が存在します。 6.1 CVE
2023-06-05 03:00:14.950308
CVE-2018-0577 WordPress 用のバージョン 4.0.4 より前の WP Google Map Plugin には、クロスサイトスクリプティングの脆弱性があり、リモートの攻撃者は、指定されていないベクトル経由で任意のウェブスクリプトまたは HTML を注入することができます。 5.4 CVE
2023-06-04 23:00:10.556350
CVE-2021-36870 WordPress WP Google Maps プラグイン(バージョン <= 8.1.12) に複数の Authenticated Persistent Cross-Site Scripting (XSS) 脆弱性があります。脆弱なパラメータ: &dataset_name, &wpgmza_gdpr_retention_purpose, &wpgmza_gdpr_company_name, &name #2, &name, &polyname #2, &polyname, &address. 5.4 CVE
2023-06-04 09:00:22.432965
CVE-2019-9912 WordPress の 7.10.43 以前の wp-google-maps プラグインには、wp-admin/admin.php の PATH_INFO を経由する XSS があります。 6.1 CVE
2023-06-03 09:00:14.115314
CVE-2020-11515 WordPress 用 1.0.40.2 までの Rank Math プラグインでは、認証されていないリモート攻撃者が、安全でない rankmath/v1/updateRedirection REST API エンドポイントを介して新しい URI(外部の Web サイトにリダイレクトする)を作成できます。つまり、これは「Open Redirect」の問題ではなく、攻撃者が任意の名前を持つ新しいURI(例えば、/exampleredirect URI)を作成することができるようになります。 6.1 CVE
2023-06-03 03:00:10.682152
CVE-2021-36871 WordPress WP Google Maps Pro premium plugin (version <= 8.1.11) に複数の Authenticated Persistent Cross-Site Scripting (XSS) 脆弱性があります。脆弱なパラメータ: &wpgmaps_marker_category_name, Value > &attributes[], Name > &attributes[], &icons[], &names[], &description, &link, &title. 5.4 CVE
2023-05-30 03:00:10.216924
CVE-2019-14792 WordPress 7.11.35 以前の WP Google Maps プラグインでは、wp-admin/ rectangle_name または rectangle_opacity パラメータを介して XSS が可能です。 5.4 CVE
2023-05-30 03:00:10.216126
CVE-2021-24383 8.1.12 以前の WP Google Maps WordPress プラグインは、管理ダッシュボードのマップリストに出力されるマップ名をサニタイズ、バリデート、エスケープせず、認証されたストアドクロスサイトスクリプティング問題を引き起こしていました。 5.4 CVE
2023-05-30 03:00:10.214415
CVE-2021-24705 8.4.3以前のNEX-Forms WordPressプラグインは、フォーム編集時のCSRFチェックが行われておらず、フォームフィールドだけでなく一部の設定もエスケープしてから属性で出力されないという問題がありました。このため、攻撃者はログインした管理者に、クロスサイトスクリプティングのペイロードが含まれる任意のフォームを編集させることができる。 4.8 CVE
2023-05-26 09:00:52.664394
CVE-2019-9567 Forminator Contact Form, Poll & Quiz Builder」プラグイン(WordPress用1.6以前)には、ポールのカスタム入力フィールドを経由したXSSが存在します。 6.1 CVE
2023-05-26 09:00:52.662075
CVE-2020-9334 WordPress 用 1.7.6 までの Envira Photo Gallery プラグインには、保存された XSS 脆弱性が存在します。この脆弱性の悪用に成功すると、認証された低特権ユーザーが、他のユーザーが閲覧する任意のJavaScriptコードを注入することが可能になります。 5.4 CVE
2023-05-26 09:00:52.660451
CVE-2015-9305 WordPress の 2.3.7 以前のプラグイン wp-google-map-plugin には、add_query_arg() および remove_query_arg() 関数に関連する XSS があります。 6.1 CVE
2023-05-26 09:00:52.655614
CVE-2022-1113 3.7までのFlorist One WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が禁止されている場合(マルチサイト設定など)、adminなどの高権限ユーザーがStored Cross-Site Scripting攻撃を実行する可能性があります。 4.8 CVE
2023-05-15 09:00:45.885263
CVE-2020-2978 Oracle Database Server の Oracle Database - Enterprise Edition コンポーネントに脆弱性があります。影響を受けるバージョンは 12.1.0.2, 12.2.0.1, 18c, 19c です。この脆弱性を利用することで、DBAロールのアカウント権限を持ち、Oracle Net経由でネットワークにアクセスできる高権限の攻撃者が、Oracle Database - Enterprise Editionを侵害することが容易になります。この脆弱性は Oracle Database - Enterprise Edition に存在しますが、攻撃は他の製品にも大きな影響を与える可能性があります。この脆弱性を利用した攻撃により、Oracle Database - Enterprise Edition のアクセス可能なデータの一部が不正に更新、挿入、削除される可能性があります。CVSS 3.1 基本スコア 4.1 (完全性への影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N). 4.1 CVE
2023-05-15 09:00:45.882082
CVE-2018-10110 D-Link DIR-615 T1 デバイスで、ユーザー追加機能による XSS が可能です。 4.8 CVE
2023-05-10 03:00:10.881773
CVE-2018-6936 D-Link DIR-600M C1 3.01において、SSIDやユーザーアカウント名を介したクロスサイトスクリプティング(XSS)が存在します。 5.4 CVE
2023-05-09 09:00:09.928767
CVE-2018-6212 D-Link DIR-620 のファームウェア 1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0, 2.0.22 の特定のカスタマイズ(ISP によって)されたバージョンにおいて、「検索」フィールドの特殊文字に対するフィルタリングが失敗したり XMLHttpRequest オブジェクトが不正に処理されて、XSS(クロスサイトスクリプト)が原因で、反射型の攻撃が可能であることがわかりました。 6.1 CVE
2023-05-09 09:00:09.927276
CVE-2021-24510 1.2以前のMF Gig Calendar WordPressプラグインは、イベントの編集時に管理ダッシュボードに出力する前にid GETパラメータをサニタイズおよびエスケープしないため、クロスサイトスクリプティング問題が反映されます。 6.1 CVE
2023-05-08 09:00:08.925231
CVE-2021-36827 WordPressのSaturday DriveのNinja Forms Contact Formプラグイン <= 3.6.9 に「label」経由でのAuth. (admin+) Stored Cross-Site Scripting (XSS) の脆弱性。 4.8 CVE
2023-04-23 09:00:13.408109
CVE-2021-24489 2.3.9以前のRequest a Quote WordPressプラグインは、管理ダッシュボードの設定の一部をサニタイズ、検証、エスケープしていないため、unfiltered_html機能が禁止されている場合でも、認証済みのStored Cross-Site Scripting問題につながります。 4.8 CVE
2023-04-23 09:00:13.406544
CVE-2021-35576 Oracle Database Server の Oracle Database Enterprise Edition Unified Audit コンポーネントに脆弱性があります。影響を受けるサポートバージョンは 12.1.0.2, 12.2.0.1 および 19c です。この脆弱性を利用することで、ローカルログオン権限を持ち、Oracle Net経由でネットワークにアクセスできる高権限の攻撃者が、Oracle Database Enterprise Edition Unified Auditを侵害することが容易に可能になります。この脆弱性を利用することで、Oracle Database Enterprise Edition Unified Audit のアクセス可能なデータの一部が不正に更新、挿入、削除される可能性があります。CVSS 3.1 基本スコア 2.7 (完全性への影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N). 2.7 CVE
2023-04-15 03:00:12.546546
CVE-2021-2175 Oracle Database Server の Database Vault コンポーネントに脆弱性があります。影響を受けるバージョンは 12.1.0.2, 12.2.0.1, 18c, 19c です。この脆弱性を利用すると、Create Any View および Select Any View の権限を持つ高権限の攻撃者が、Oracle Net 経由でネットワークアクセスし、Database Vault を侵害することが容易になります。この脆弱性を利用した攻撃が成功すると、Database Vault のアクセス可能なデータのサブセットに対して不正な読み取りアクセスが発生する可能性があります。CVSS 3.1 基本スコア 2.7 (機密保持への影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N). 2.7 CVE
2023-04-14 23:00:10.229008
CVE-2022-1686 5 Minute Webshop WordPress プラグイン 1.3.2 では、管理者ダッシュボードで商品を編集する際に、SQL 文で使用する前に id パラメータをサニタイズおよびエスケープしていないため、SQL インジェクションになる可能性があります。 2.7 CVE
2023-04-14 09:00:04.821861
CVE-2022-1684 Cube Slider WordPress プラグイン 1.2 では、idslider パラメータを SQL クエリで使用する前にサニタイズおよびエスケープしていないため、admin などの高権限ユーザが SQL インジェクションを利用することが可能です。 2.7 CVE
2023-04-14 03:00:09.408881
CVE-2022-1689 Note Press WordPress プラグイン 0.1.10 では、管理者ダッシュボードからノートを更新する際に、Update パラメータを SQL 文で使用する前にサニタイズおよびエスケープしていないため、SQL インジェクションが発生する可能性があります。 2.7 CVE
2023-04-13 23:00:08.499798
CVE-2022-1687 Logo Slider WordPress プラグイン 1.4.8 では、Manage Slider Images 管理ページで SQL 文に使用する前に lsp_slider_id パラメータをサニタイズおよびエスケープしていないため、SQL インジェクションになる可能性があります。 2.7 CVE
2023-04-13 09:00:07.422847
CVE-2022-1690 WordPress プラグイン Note Press 0.1.10 では、管理画面の SQL 文で使用する前に、バルクアクションの ID をサニタイズおよびエスケープしていないため、SQL インジェクションになる可能性があります。 2.7 CVE
2023-04-13 03:00:08.878626
CVE-2022-1688 WordPress プラグイン Note Press 0.1.10 では、管理画面の SQL 文で id パラメータを使用する前にサニタイズおよびエスケープを行わないため、SQL インジェクションが発生する可能性があります。 2.7 CVE
2023-04-12 23:00:10.441956
CVE-2020-4050 影響を受けるバージョンの WordPress では、`set-screen-option` フィルタの戻り値を誤って使用すると、任意のユーザメタフィールドが保存される可能性があります。この問題を解決するには、管理者がこのフィルタを悪用するプラグインをインストールする必要があります。一度インストールすると、低権限のユーザでも利用することができます。この問題は、バージョン 5.4.2 で修正されています。また、マイナーリリースを通じて、以前に影響を受けたすべてのバージョン (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34) で修正されています。 3.1 CVE
2023-04-12 09:01:10.268647
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (1660)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.