WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2019-13578 | WordPress 2.5.0 までの Impress GiveWP Give プラグインには、SQL インジェクションの脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者が includes/payments/class-payments-query.php を経由して、影響を受けるシステム上で任意の SQL コマンドを実行される可能性があります。 | 9.8 |
CVE 2023-06-29 03:00:07.210522 |
| CVE-2022-1020 | 3.1.2 以前の Product Table for WooCommerce (wooproducttable) WordPress プラグインは、wpt_admin_update_notice_option AJAX アクション(未認証ユーザと認証ユーザの両方で利用可能)に認証と CSRF チェックがなく、またコールバックパラメータも検証しないため、未認証攻撃者がユーザ制御引数がないか1つで任意の関数を呼び出せるようにします。 | 9.8 |
CVE 2023-06-28 23:00:14.412572 |
| CVE-2022-0814 | 3.6.4 以前の Ubigeo de Perà para Woocommerce WordPress プラグインは、様々な AJAX アクションで SQL 文を使用する前に、一部のパラメータを適切にサニタイズおよびエスケープしておらず、その一部は未認証ユーザが使用できるため、SQL インジェクションを引き起こす可能性があります。 | 9.8 |
CVE 2023-06-28 09:01:07.064022 |
| CVE-2022-0592 | 6.2.20 以前の MapSVG WordPress プラグインは、SQL 文で使用する前に REST エンドポイント経由でパラメータを検証およびエスケープしないため、未認証のユーザーによる SQL インジェクションが発生します。 | 9.8 |
CVE 2023-06-27 23:00:13.034297 |
| CVE-2015-9410 | Blubrry PowerPress Podcasting plugin 6.0.4 for WordPressには、tabパラメータを経由したXSSが存在します。 | 5.4 |
CVE 2023-06-26 09:00:53.932622 |
| CVE-2015-9306 | WordPress 3.8.1 以前のプラグイン wp-ultimate-csv-importer に XSS があります。 | 6.1 |
CVE 2023-06-09 09:00:13.663421 |
| CVE-2021-25019 | 11.1.12以前のSquirrly SEO WordPressプラグインによるSEOプラグインは、管理画面の属性で出力し直す前にtypeパラメータをエスケープしないため、反射型クロスサイトスクリプティングの可能性があります。 | 6.1 |
CVE 2023-06-09 09:00:13.662758 |
| CVE-2022-0360 | 6.4.3以前のWordPressプラグイン「Easy Drag And drop All Import : WP Ultimate CSV Importer」は、インポートされたコメントをサニタイズおよびエスケープしないため、高い権限を持つユーザーが悪意のあるものをインポートし(意図的かどうかにかかわらず)、保存されたクロスサイトスクリプティング問題につながる可能性があります。 | 4.8 |
CVE 2023-06-09 09:00:13.662045 |
| CVE-2021-24522 | 3.1.11以前のWordPressプラグインProfilePress(旧WP User Avatar)のユーザー登録、ユーザープロフィール、ログイン、会員登録のウィジェットが適切にエスケープされておらず、XSS攻撃で使用されてwp-adminへのアクセスにつながる可能性がありました。さらに、このプラグインは、いくつかの場所で$_POSTを$_GETとして代入していたため、場合によっては$_GETパラメータだけで再現でき、$_POSTの値が不要になる可能性がありました。 | 6.1 |
CVE 2023-06-06 23:00:16.254050 |
| CVE-2021-24450 | 3.1.8以前のProfilePress (Formerly WP User Avatar) WordPressプラグインは、設定を保存してページ内に出力する前にサニタイズまたはエスケープしないため、unfiltered_html機能が禁止されている場合でも、adminなどの高い権限を持つユーザーが設定したJavaScriptペイロードを利用でき、認証済みのStored Cross-Site Scripting問題につながることがありました。 | 4.8 |
CVE 2023-06-06 23:00:16.253308 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.