WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-2782 Fluent Forms による WordPress 用 Contact Form Plugin for Quiz, Survey, Drag & Drop WP Form Builder プラグインは、5.1.16 までのすべてのバージョンにおいて、/wp-json/fluentform/v1/global-settings REST API エンドポイントのケイパビリティチェックが欠けているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がプラグインのすべての設定を変更することが可能になります。 7.5 CVE
2024-08-26 03:00:04.860048
CVE-2024-2772 Fluent Forms による WordPress 用 Contact Form プラグイン (Quiz, Survey, Drag & Drop WP Form Builder プラグイン) には、入力のサニタイズと出力のエスケープが不十分なため、5.1.13 までのすべてのバージョンにおいて、フォーム設定を経由した Stored Cross-Site Scripting の脆弱性があります。このため、Fluent Forms の設定にアクセスできる認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。これは、CVE-2024-2771 と連鎖して、低特権ユーザが悪意のあるウェブスクリプトを注入することができます。 6.4 CVE
2024-08-26 03:00:04.859181
CVE-2024-2771 Fluent Forms による WordPress 用のクイズ、アンケート、ドラッグ&ドロップ WP Form Builder プラグインの Contact Form Plugin には、5.1.16 までのすべてのバージョンにおいて /wp-json/fluentform/v1/managers REST API エンドポイントにおけるケイパビリティチェックの欠落により、特権昇格の脆弱性があります。このため、認証されていない攻撃者が Fluent Form の管理権限を持つユーザに、プラグインのすべての設定と機能へのアクセスを許可することが可能になってしまいます。これは認証されていない攻撃者が管理者アカウントを削除することを可能にします。 9.8 CVE
2024-08-26 03:00:04.858236
CVE-2024-4849 WordPress のプラグイン WordPress Automatic Plugin には、入力のサニタイズと出力のエスケープが不十分なため、3.94.0 までのすべてのバージョンにおいて、'autoplay' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.857297
CVE-2024-3812 WordPress 用の Salient Core プラグインは、2.0.7 までのすべてのバージョンにおいて、ショートコード 'nectar_icon' の 'icon_linea' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を迂回したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりするために使用できます。 7.5 CVE
2024-08-26 03:00:04.856420
CVE-2024-3811 WordPress用のSalient Shortcodesプラグインは、1.5.3までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの'icon'ショートコードを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.855623
CVE-2024-3810 WordPress 用の Salient Shortcodes プラグインは、1.5.3 までのすべてのバージョンにおいて、'icon' ショートコードの 'image' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりするために使用できます。 8.8 CVE
2024-08-26 03:00:04.854762
CVE-2024-4891 WordPress 用プラグイン Essential Blocks - Page Builder Gutenberg Blocks, Patterns & Templates には、4.5.12 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tagName' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.853875
CVE-2024-4374 WordPress 用 DethemeKit For Elementor プラグインは、2.1.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.853035
CVE-2024-3714 GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、3.10.0 までのすべてのバージョンにおいて、レガシーなフォームで使用された場合、プラグインの 'give_form' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.851959
CVE-2024-4865 WordPress 用 Elementor プラグイン Happy Addons には、入力のサニタイズと出力のエスケープが不十分なため、3.10.8 までのすべてのバージョンにおいて、'_id' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.849023
CVE-2024-32692 QuanticaLabs Chauffeur Taxi Booking System for WordPress に認可漏れの脆弱性があり、ACL によって適切に制限されていない機能へアクセス可能です。この問題は Chauffeur Taxi Booking System for WordPress: n/a から 6.9 に影響します。 8.2 CVE
2024-08-25 09:00:04.484790
CVE-2024-4789 WordPress 用の Cost Calculator Builder Pro プラグインは、3.1.72 までのすべてのバージョンにおいて、 send_demo_webhook() 関数を経由した Server-Side Request Forgery の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 6.4 CVE
2024-08-25 09:00:04.483675
CVE-2024-34434 この問題は、WordPress Meta Data and Taxonomies Filter (MDTF) の n/a から 1.3.3.2 までのバージョンに影響します。 6.5 CVE
2024-08-25 09:00:04.482956
CVE-2024-31290 CodeRevolution Demo My WordPress における不適切な特権管理の脆弱性により、特権の昇格が可能です。この問題は、Demo My WordPress: n/a から 1.0.9.1 までのバージョンに影響します。 9.8 CVE
2024-08-25 09:00:04.482063
CVE-2024-22139 Filipe Seabra WordPress Manutenção には、なりすましによる認証バイパスの脆弱性があり、機能バイパスが可能です。この問題は、WordPress Manutenção: n/a から 1.0.6 までのバージョンに影響します。 3.7 CVE
2024-08-25 09:00:04.480844
CVE-2023-47683 この問題は、WordPress ソーシャルログインおよび登録 (Discord, Google, Twitter, LinkedIn) の n/a から 7.6.6 までのバージョンに影響します。 8.0 CVE
2024-08-25 09:00:04.477861
CVE-2024-2697 2024.0.0より前のsocialdriver-framework WordPressプラグインは、ページに出力する前にショートコードの属性の一部を検証およびエスケープしません。このため、contributor程度のロールのユーザが、管理者のような高権限ユーザに対して使用可能なStored Cross-Site Scripting攻撃を実行できる可能性があります。 6.5 CVE
2024-08-25 03:00:08.258369
CVE-2024-3551 WordPress 用 Penci Soledad Data Migrator プラグインは、1.3.0 までの全てのバージョンにおいて、 'data' パラメータ経由でローカルファイルをインクルードされる脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルをインクルードして実行することが可能になり、そのファイル内の任意の PHP コードの実行が可能になります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードしたり する場合にコードの実行を可能にします。これはPHPファイルだけに限定されます。 9.8 CVE
2024-08-25 03:00:08.255586
CVE-2024-3134 Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor plugin for WordPress は、2.0.6.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、title_html_tag 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.011478
CVE-2024-4204 WordPress 用 Bulk Posts Editing For WordPress プラグインには、4.2.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、プラグインの AJAX アクションにおける nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる偽造されたリクエストを介して、投稿の作成や複製、投稿内容の取得、投稿タクソノミーの変更などが可能になります。 4.3 CVE
2024-08-24 09:00:04.010765
CVE-2024-3609 ReviewX - Multi-criteria Rating & Reviews for WooCommerce plugin for WordPress は、1.6.27 までのすべてのバージョンにおいて、reviewx_remove_guest_image 関数の機能チェックが欠落しているため、データを不正に削除される脆弱性があります。これにより、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が添付ファイルを削除することが可能になります。 4.3 CVE
2024-08-24 09:00:04.010146
CVE-2024-2619 Elementor Header & Footer Builder for WordPress は、1.6.26 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、HTML インジェクションの脆弱性があります。これにより、作者レベル以上の権限を持つ認証済みの攻撃者が、ユーザーが注入されたページにアクセスするたびに表示されるページ内に任意の HTML を注入することが可能になります。 5.0 CVE
2024-08-24 09:00:04.009502
CVE-2024-4580 WordPress 用 Elementor プラグイン Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations には、入力のサニタイズと出力のエスケープが不十分なため、2.0.6.0 までのバージョンにおいて、いくつかのパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.008774
CVE-2024-4838 WordPress 用 ConvertPlus プラグインは、3.5.26 までのすべてのバージョンにおいて、ショートコード 'smile_modal' の 'settings_encoded' 属性から信頼できない入力をデシリアライズすることにより、PHP オブジェクトインジェクションの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP Object を注入することが可能となります。脆弱なプラグインには POP チェーンは存在しません。対象のシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、機密データを取得したり、コードを実行したりできる可能性があります。 8.8 CVE
2024-08-24 09:00:04.008124
CVE-2024-4634 WordPress 用 Elementor Header & Footer Builder プラグインは、1.6.28 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'hfe_svg_mime_types' 関数を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.007495
CVE-2024-4617 WordPress 用プラグイン Rank Math SEO with AI Best SEO Tools には、入力のサニタイズと出力のエスケープが不十分なため、1.0.218 までのバージョンにおいて、'id' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.006687
CVE-2024-4400 Post and Page Builder by BoldGrid - Visual Drag and Drop Editor plguin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、1.26.4 までのバージョンにおいて、未知のパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.005973
CVE-2024-4385 WordPress 用 Envo Extra プラグインには、1.8.16 までのバージョンにおいて、入力のサニタイズおよび出力のエスケープが不十分なため、複数のパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.005107
CVE-2024-4288 WordPress 用 Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin プラグインは、1.6.7.14 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'link' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.004191
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.