WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-0541 | 2.4.1 以前の flo-launch WordPress プラグインは、クローンサイトを作成する際に wp-config.php にコードを注入し、任意の攻撃者が flo_custom_table_prefix クッキーを任意の値に設定することにより、新しいサイトのインストールを開始できるようにします。 | 9.8 |
CVE 2023-08-08 09:00:07.765988 |
| CVE-2019-13573 | WordPress 用 7.3.19.727 以前の FolioVision FV Flowplayer Video Player プラグインに、SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者に、影響を受けるシステム上で任意の SQL コマンドを実行される可能性があります。 | 9.8 |
CVE 2023-08-08 03:00:08.720381 |
| CVE-2019-11185 | 8.0.26 for WordPress までの WP Live Chat Support Pro プラグインには、任意のファイルアップロードの脆弱性があります。これは、CVE-2018-12426に対する不完全なパッチに起因します。任意のファイルアップロードは、ブラックリストに載っていない実行ファイル拡張子をホワイトリストに載っているファイル拡張子と併用し、ペイロードに「マジックバイト」を前置してMIMEチェックを通過させることで実現します。具体的には、認証されていないリモートユーザーが、REST api remote_upload エンドポイントに細工したファイルアップロード POST リクエストを送信します。このファイルには、プラグインのMIMEチェックを欺いて画像(ホワイトリストに登録されているファイル拡張子)に分類させるデータと、最後に.phtmlというファイル拡張子が含まれています。 | 9.8 |
CVE 2023-08-07 09:00:05.808483 |
| CVE-2019-13575 | 1.4.9 までの WordPress 用 WPEverest Everest Forms プラグインには、SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者が includes/evf-entry-functions.php を経由して、影響を受けるシステム上で任意の SQL コマンドを実行される可能性があります。 | 9.8 |
CVE 2023-08-07 03:00:06.116835 |
| CVE-2019-16119 | WordPress 1.5.35 以前の photo-gallery (10Web Photo Gallery) プラグインに admin/controllers/Albumsgalleries.php album_id パラメータを経由した SQL インジェクションが存在します。 | 9.8 |
CVE 2023-08-06 23:00:05.614888 |
| CVE-2015-9298 | WordPress用5.6以前のevents-managerプラグインにコードインジェクションがあります。 | 9.8 |
CVE 2023-08-06 09:00:07.558166 |
| CVE-2018-6213 | ファームウェア1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0, 2.0.22 をカスタマイズ(ISPによる)したD-Link DIR-620 デバイスのWebサーバーでは、adminアカウントに匿名というハードコードのパスワードが存在します。 | 9.8 |
CVE 2023-08-06 03:00:06.509733 |
| CVE-2021-3120 | WordPress 用 3.3.1 以前の YITH WooCommerce Gift Cards Premium プラグインに任意のファイルアップロードの脆弱性があり、リモート攻撃者がウェブサーバのセキュリティコンテキスト内のオペレーティングシステム上でリモートコード実行を達成することができます。この脆弱性を悪用するためには、攻撃者は有効なギフトカード製品をショッピングカートに入れることができなければなりません。アップロードされたファイルは、ユーザーが指定したファイル名と拡張子で、ウェブサーバー上の所定のパスに置かれます。これは、ギフトカードの画像のアップロードのみを許可するように意図されているにもかかわらず、 ywgc-upload-picture パラメータが .php の値を持つことができるために発生します。 | 9.8 |
CVE 2023-08-05 23:00:06.439476 |
| CVE-2019-13571 | WordPress 用 1.6.1 までの Vsourz Digital Advanced CF7 DB プラグインには、SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者に、影響を受けるシステム上で任意の SQL コマンドを実行される可能性があります。 | 9.8 |
CVE 2023-08-05 09:00:05.577361 |
| CVE-2019-17670 | WordPress 5.2.4 以前のバージョンには、相対 URL の検証時に Windows のパスが誤って処理されるため、Server Side Request Forgery (SSRF) の脆弱性が存在します。 | 9.8 |
CVE 2023-08-05 03:00:05.911657 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.