WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1777 | Filr WordPress プラグイン 1.2.2.1 以前のバージョンでは、2 つの AJAX アクションに認証チェックがないため、購読者などの認証済みユーザから呼び出される可能性があります。これらのアクションは nonce で保護されていますが、nonce はダッシュボード上で漏れてしまいます。このため、任意の HTML ファイルをアップロードしたり、すべてのファイルや任意のファイルを削除したりすることができます。 | 8.8 |
CVE 2023-08-21 03:00:06.354199 |
| CVE-2022-1683 | amtyThumb WordPress プラグイン 4.2.0 は、ショートコードで SQL 文を使用する前にパラメータをサニタイズおよびエスケープしないため、SQL インジェクションが発生し、AJAX アクションを介してショートコードを実行できるため、認証済みの任意のユーザー(元の勧告に記載されている Author+ だけではない)が悪用可能であることがあります。 | 8.8 |
CVE 2023-08-20 23:00:05.114806 |
| CVE-2022-1239 | 8.8.15以前のHubSpot WordPressプラグインは、プロキシRESTエンドポイントに与えられたプロキシURLを検証しないため、edit_posts機能を持つユーザー(デフォルトではcontributor以上)がSSRF攻撃を行うことができる可能性があります。 | 8.8 |
CVE 2023-08-20 09:00:05.683904 |
| CVE-2021-24957 | 6.1.6 以前の Advanced Page Visit Counter WordPress プラグインは、認証されたユーザが利用できる apvc_reset_count_art AJAX アクションの SQL 文で使用する前に artID パラメータをエスケープしないため、SQL インジェクションにつながる可能性があります。 | 8.8 |
CVE 2023-08-20 03:00:05.597141 |
| CVE-2020-12675 | WordPress 用 2.54.6 以前の mappress-google-maps-for-wordpress プラグインは、PHP テンプレートファイルの作成/検索/削除に関連する AJAX 関数の機能チェックを正しく実装しておらず、リモートコードの実行につながる可能性があります。注意: この問題は、CVE-2020-12077 に対する修正が不完全であるために存在します。 | 8.8 |
CVE 2023-08-19 23:00:05.093891 |
| CVE-2022-29437 | WordPress の Image Slider by NextCode プラグイン <= 1.1.2> に複数の Cross-Site Request Forgery (CSRF) 脆弱性が存在します。 | 8.8 |
CVE 2023-08-19 09:00:09.489675 |
| CVE-2021-24307 | All in One SEO - Best WordPress SEO Plugin - Easily Improve Your SEO Rankings before 4.1.0.2 は、「aioseo_tools_settings」権限を持つ認証済みユーザー(ほとんどの場合、admin)が、基盤となるホスト上で任意のコードを実行できるようにしています。ユーザーは、「ツール > インポート/エクスポート」セクションにあるバックアップ .ini ファイルをアップロードすることで、プラグインの設定を復元することができます。しかし、このプラグインは、.iniファイルの値をシリアライズしないようにします。さらに、このプラグインは、ガジェットチェーンを構築し、システムコマンドの実行をトリガーするために使用できるMonologライブラリを埋め込みます。 | 8.8 |
CVE 2023-08-19 03:00:06.847896 |
| CVE-2019-5924 | Smart Forms 2.6.15 およびそれ以前のバージョンには、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があり、リモートの攻撃者は、特別に細工したページを介して管理者の認証をハイジャックすることが可能です。 | 8.8 |
CVE 2023-08-18 23:00:07.254652 |
| CVE-2021-23227 | Alexander Fuchs PHP Everywhere プラグイン <= 2.0.2 バージョンに Cross-Site Request Forgery (CSRF) の脆弱性があります。 | 8.8 |
CVE 2023-08-18 09:00:07.076565 |
| CVE-2022-29417 | WordPress の ShortPixel Adaptive Images プラグイン <= 3.3.1> のプラグイン設定更新の脆弱性により、購読者以上の低いユーザーロールを持つ攻撃者がプラグイン設定を変更することが可能です。 | 4.3 |
CVE 2023-08-18 09:00:07.075694 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.