見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2021-36879 | WordPress の uListing プラグイン(バージョン <= 2.0.5)に認証されない特権のエスカレーションの脆弱性があります。WordPress の設定でユーザ登録を許可している場合に発生する可能性があります。 | 9.8 |
CVE 2023-07-09 09:01:21.842491 |
CVE-2022-0781 | 2.8.2 以前の Nirweb support WordPress プラグインは、AJAX アクション(未認証ユーザが利用可能)で SQL 文にパラメータを使用する前にサニタイズおよびエスケープを行わないため、SQL インジェクションが発生します。 | 9.8 |
CVE 2023-07-08 23:00:09.647770 |
CVE-2022-0771 | SiteSuperCharger WordPress プラグイン 5.2.0 以前では、AJAX アクションで SQL 文を使用する前に、さまざまなユーザー入力を検証、サニタイズ、エスケープしないため、未認証の SQL インジェクションにつながる可能性があります。 | 9.8 |
CVE 2023-07-08 09:00:22.455778 |
CVE-2022-1386 | Avadaテーマで使用している3.6.2以前のFusion Builder WordPressプラグインは、任意のHTTPリクエストを開始するために使用できるフォーム内のパラメータを検証していません。このパラメータは、任意の HTTP リクエストを開始するために使用することができます。これは、ファイアウォールやアクセス制御をバイパスして、サーバーのローカルネットワーク上のホストと対話するために使用される可能性があります。 | 9.8 |
CVE 2023-07-08 03:00:09.716258 |
CVE-2019-19589 | ** 論争中 ** Lever PDF Embedder plugin 4.4 for WordPress は、有効な JAR アーカイブであるポリグロット PDF ドキュメントの配布をブロックしていません。注:「PDF Embedder Plugin で報告されている脆弱性は、プラグイン自体がファイルアップロードプロセスを制御・管理していないため、有効ではない」という主張がなされています。それは、アップロードされたPDFファイルを提供するだけであり、PDFファイルをアップロードする責任は、Wordpressインストールのサイト所有者に残り、PDFファイルのアップロードは、PDF Embedderプラグインではなく、Wordpressコアによって管理されています "と主張している。多言語ファイルの制御とブロックは、ファイルを表示するときではなく、アップロード時に世話をすることが要求されます。また、ブラウザのキャッシュからファイルを取得し、手動でjarにリネームして実行することが言及されています。これは、PDF Embedderとは関係のない2つのステップを指しています。" | 9.8 |
CVE 2023-07-07 23:00:09.978511 |
CVE-2022-0783 | 2.0 以前の Multiple Shipping Address Woocommerce WordPress プラグインは、未認証のユーザーが使用できる一部の AJAX 操作で SQL 文に使用する前に、多数のパラメータを適切にサニタイズおよびエスケープしていないため、未認証の SQL インジェクションにつながる可能性があります。 | 9.8 |
CVE 2023-07-07 09:01:15.249180 |
CVE-2022-1556 | 3.1.5 以前の StaffList WordPress プラグインは、管理画面のスタッフ検索時に SQL 文で使用する前にパラメータを適切にサニタイズおよびエスケープしていないため、SQL インジェクションが発生します。 | 9.8 |
CVE 2023-07-07 03:00:34.822144 |
CVE-2022-0826 | 1.7.1 までの WP Video Gallery WordPress プラグインは、AJAX アクションを経由して SQL 文で使用する前にパラメータをサニタイズおよびエスケープしないため、未認証ユーザによる SQL インジェクションを引き起こす可能性があります。 | 9.8 |
CVE 2023-07-06 23:00:20.764782 |
CVE-2022-0817 | BadgeOS WordPress プラグイン 3.7.0 では、AJAX アクションで SQL 文を使用する前にパラメータをサニタイズおよびエスケープしていないため、未認証のユーザーによって SQL インジェクションが利用される可能性があります。 | 9.8 |
CVE 2023-07-06 09:00:52.867494 |
CVE-2022-1390 | 2.2 までの Admin Word Count Column WordPress プラグインは readfile() に与えるパスパラメータを検証していないため、ヌルバイトテクニックに弱い古いバージョンの PHP が動作するサーバー上で、認証されていない攻撃者が任意のファイルを読み取ることができる可能性があります。また、Phar Deserialization テクニックを使用することで RCE を引き起こす可能性があります。 | 9.8 |
CVE 2023-07-06 03:00:51.422019 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.