WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2021-34619 | WooCommerce Stock Manager WordPress プラグインは、/woocommerce-stock-manager/trunk/admin/views/import-export.php ファイルの nonce およびファイル検証の欠落により、2.5.7 までのバージョンにおいて、任意のファイルアップロードにつながる Cross-Site Request Forgery の脆弱性があります。 | 8.8 |
CVE 2023-08-11 23:00:05.859033 |
| CVE-2021-36908 | WebFactory Ltd. にクロスサイトリクエストフォージェリ (CSRF) の脆弱性。WP Reset PRO プラグイン <= 5.98 バージョン。 | 8.8 |
CVE 2023-08-11 09:00:06.993462 |
| CVE-2019-5963 | Zoho SalesIQ 1.0.8 以前のバージョンには、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があり、リモートの攻撃者は、特定されていないベクトルを介して管理者の認証をハイジャックすることが可能です。 | 8.8 |
CVE 2023-08-11 03:00:07.299080 |
| CVE-2022-1463 | WordPress 用の Booking Calendar プラグインには、バージョン 9.1 までの [bookingflextimeline] ショートコード経由での PHP オブジェクトインジェクションの脆弱性があります。この脆弱性を利用すると、サブスクライバーレベル以上のユーザが、脆弱性のあるサイト上で任意の PHP オブジェクトを呼び出すことができる可能性があります。 | 8.8 |
CVE 2023-08-10 23:00:07.059487 |
| CVE-2019-1010257 | Wordpress プラグイン article2pdf 0.24, 0.25, 0.26, 0.27 の article2pdf_getfile.php には、情報漏洩 / データ改ざんの問題が存在します。PDF ファイルのパスを上書きする URL を作成することで、パスが既知で Web サーバで読み取り可能な任意の PDF をダウンロードすることができます。ファイルは、ウェブサーバーが許可していれば、ダウンロード後に削除されます。PHP 5.3 以前のバージョンでは、ファイル拡張子の左側の文字列を null で終端することで、任意のファイルを読み込むことができます。 | 9.1 |
CVE 2023-08-10 09:00:06.924060 |
| CVE-2020-28039 | WordPress 5.5.2 以前の wp-includes/meta.php の is_protected_meta は、meta キーが保護されているとみなされるかどうかを適切に判断していないため、任意のファイルを削除することができます。 | 9.1 |
CVE 2023-08-10 03:00:09.428970 |
| CVE-2022-1953 | 1.2.32 以前の Product Configurator for WooCommerce WordPress プラグインには、未認証ユーザがアクセス可能な AJAX アクションがあり、パスで使用されているユーザ入力を検証せずに unlink() に渡すことで、任意のファイルを削除できる脆弱性が存在します。 | 9.1 |
CVE 2023-08-09 23:00:08.288583 |
| CVE-2021-24884 | Formidable Form Builder WordPress プラグイン 4.09.05 以前のバージョンでは、<audio>、<video>、<img>、<a>、<button> などの特定の HTML タグを注入することができます。これにより、未認証の遠隔攻撃者は、不正なリンクを注入することによって、HTML インジェクションを利用することができます。HTML インジェクションは、認証されたユーザーを騙して、そのリンクをクリックさせる可能性があります。HTML インジェクションは、認証されたユーザーを騙してリンクを踏ませる可能性があり、リンクがクリックされると Javascript のコードを実行される可能性があります。この脆弱性は、対象システムのウェブベースの入力検査ページにおけるリンクの "data-frmverify" タグのサニタイズ処理が不十分であることに起因しています。CSRFを利用した不正な利用が成功すると、攻撃者は、影響を受けるシステム上で、ユーザーの権限で任意のアクションを実行することが可能になります。これらのアクションには、パスワードを変更することでユーザーのアカウントを盗むことや、攻撃者が認証されたユーザーを介して自身のコードを送信し、リモートコード実行を引き起こすことが含まれます。Wordpress の PHP コードを編集できる認証済みユーザーが、悪意のあるリンクをクリックすると、PHP コードを編集することができます。 | 9.6 |
CVE 2023-08-09 09:00:08.989245 |
| CVE-2021-34621 | WordPress プラグイン ProfilePress の ~/src/Classes/RegistrationAuth.php ファイルに存在するユーザー登録コンポーネントに脆弱性があり、ユーザーが管理者としてサイトに登録することが可能な状態になっていました。この問題は、バージョン 3.0.0 ~ 3.1.3 に影響します。. | 9.8 |
CVE 2023-08-09 03:00:06.219429 |
| CVE-2020-11514 | WordPress 用 1.0.40.2 までの Rank Math プラグインでは、認証されていないリモート攻撃者が、安全でない rankmath/v1/updateMeta REST API エンドポイントを介して、既存のユーザーの管理者権限を昇格または取り消す機能を含む任意の WordPress メタデータを更新することができます。 | 9.8 |
CVE 2023-08-08 23:00:07.472639 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.