WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-0439 | 5.3.2以前のWordPressプラグイン Email Subscribers & Newsletters は `ajax_fetch_report_list` アクションの `order` パラメータと `orderby` パラメータを正しくエスケープしていないため、Subscriber程度のロールを持つユーザーによるブラインドSQLインジェクション攻撃に対して脆弱です。さらに、このアクションには CSRF 対策が施されていないため、攻撃者はログインしているユーザを騙してリンクをクリックさせ、アクションを実行させることができます。 | 8.8 |
CVE 2023-08-15 09:00:07.433076 |
| CVE-2022-29427 | WordPress の Aftab Muni の Disable Right Click For WP プラグイン <= 1.1.6> には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があります。 | 8.8 |
CVE 2023-08-15 03:00:06.166071 |
| CVE-2022-1182 | Visual Slide Box Builder WordPress プラグイン 3.2.9 では、SQL 文で使用する前にさまざまなパラメータをサニタイズおよびエスケープせず、認証済みユーザー(購読者など)が利用できる AJAX アクションの一部で、SQL インジェクションが発生する可能性があります。 | 8.8 |
CVE 2023-08-14 23:00:07.034808 |
| CVE-2022-0952 | 1.0.36 以前の Sitemap by click5 WordPress プラグインは、REST エンドポイント経由でオプションを更新する際に認証と CSRF チェックを行わず、更新するオプションがプラグインに属していることを保証していません。その結果、未認証の攻撃者が users_can_register や default_role などの任意のブログオプションを変更し、新しい管理者アカウントを作成してブログを乗っ取ることが可能になります。 | 8.8 |
CVE 2023-08-14 09:00:10.359685 |
| CVE-2021-36886 | Contact Form 7 Database Addon - CFDB7 WordPress プラグイン (バージョン <= 1.2.5.9) に Cross-Site Request Forgery (CSRF) 脆弱性が発見されました。 | 8.8 |
CVE 2023-08-14 03:00:04.910449 |
| CVE-2021-24354 | 2.0.4 以前の WordPress プラグイン Simple 301 Redirects by BetterLinks の AJAX アクションにおいて、能力チェックと nonce チェックが不十分なため、認証済みユーザが脆弱なサイトに任意のプラグインをインストールできる可能性があります。 | 8.8 |
CVE 2023-08-13 23:00:06.176970 |
| CVE-2021-24193 | 低権限ユーザーは、2.12 より前の Visitor Traffic Real Time Statistics WordPress プラグインの AJAX アクション 'cp_plugins_do_button_job_later_callback' を使用して、WordPress リポジトリから任意のプラグイン(特定のバージョンを含む)をインストールしたり、そのブログから任意のプラグインを有効にすることができ、攻撃者は脆弱なプラグインのインストールを支援し、RCE などのより重大な脆弱性を引き起こす可能性があります。 | 8.8 |
CVE 2023-08-13 09:00:06.254270 |
| CVE-2016-10874 | WordPress の 4.3.3 以前の wp-database-backup プラグインには CSRF があります。 | 8.8 |
CVE 2023-08-13 03:00:07.723687 |
| CVE-2015-1784 | 2.0.77.3 以前の nextgen-galery wordpress プラグインには、攻撃者がウェブアプリケーション上でフルアクセスすることを可能にする 2 つの脆弱性があります。この脆弱性は、ユーザーがアップロードしたファイルをアプリケーションが検証する方法と、不要な HTTP リクエストを防ぐセキュリティ対策の欠如に起因しています。 | 8.8 |
CVE 2023-08-12 23:00:06.149560 |
| CVE-2021-4225 | 4.24 以前の SP Project & Document Manager WordPress プラグインでは、購読者などの認証されたユーザーであれば誰でもファイルをアップロードすることができます。このプラグインは、ファイルの拡張子をチェックすることで、サーバー上で実行される可能性のあるPHPなどのファイルがアップロードされることを防ごうとしています。Windowsサーバーでは、このセキュリティチェックが不十分で、悪質な業者が脆弱なサイトにバックドアをアップロードできる可能性があることが発見されました。 | 8.8 |
CVE 2023-08-12 03:00:06.943285 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.