WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] (2701)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2023-5761 WordPress 用プラグイン Burst Statistics - Privacy-Friendly Analytics for WordPress は、バージョン 1.4.0 から 1.4.6.1 (無料) および 1.4.0 から 1.5.0 (プロ) において、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'url' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 7.5 CVE
2024-03-15 23:00:04.177906
CVE-2023-5714 WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_db_specs() 関数の機能チェックが欠けているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ、認証された攻撃者がデータ・キー・スペックを取得することが可能になります。 4.3 CVE
2024-03-15 23:00:04.177291
CVE-2023-5713 WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、 AJAX アクション経由でフックされる sd_option_value() 関数の機能チェックが欠落しているため、 データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、潜在的にセンシティブなオプション値を取得し、それらの値の内容をデシリアライズすることが可能になります。 4.3 CVE
2024-03-15 23:00:04.176687
CVE-2023-5712 WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_global_value() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、機密性の高いグローバル値情報を取得することが可能になります。 4.3 CVE
2024-03-15 23:00:04.176043
CVE-2023-5711 WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、 AJAX アクション経由でフックされる sd_php_info() 関数の機能チェックが欠落しているため、 データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、 PHP info によって提供された機密情報を取得することが可能となります。 4.3 CVE
2024-03-15 23:00:04.175319
CVE-2023-5710 WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_constants() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、データベースの認証情報などの機密情報を取得することが可能になります。 4.3 CVE
2024-03-15 23:00:04.172516
CVE-2023-6527 WordPress 用 Email Subscription Popup プラグインは、1.2.18 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、HTTP_REFERER ヘッダを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-03-15 03:00:04.856411
CVE-2023-5108 Easy Newsletter Signups WordPress プラグイン 1.0.4 では、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープを行っていないため、admin などの高権限ユーザーが悪用可能な SQL インジェクションが発生します。 7.2 CVE
2024-03-13 09:00:08.542465
CVE-2023-6063 1.2.2 より前の WP Fastest Cache WordPress プラグインでは、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープが行われないため、認証されていないユーザーによって悪用される SQL インジェクションが発生します。 7.5 CVE
2024-03-13 09:00:08.433636
CVE-2023-5953 2.9.5より前のWelcart e-Commerce WordPressプラグインは、アップロードされるファイルの検証を行わず、またそのようなアップロードを処理するAJAXアクションに認証とCSRFを備えていません。その結果、購読者のような認証されたユーザーは、サーバー上の PHP のような任意のファイルをアップロードすることができます。 8.8 CVE
2024-03-13 09:00:08.431906
CVE-2023-5952 2.9.5以前のWelcart e-Commerce WordPressプラグインは、クッキーからのユーザー入力をシリアライズしないため、適切なガジェットがブログに存在する場合、不正なユーザーがPHPオブジェクト・インジェクションを実行できる可能性がある。 9.8 CVE
2024-03-13 09:00:08.431360
CVE-2023-5951 2.9.5以前のWelcart e-Commerce WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイト・スクリプティングが発生します。 6.1 CVE
2024-03-13 09:00:08.430725
CVE-2023-5874 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-03-13 09:00:08.429092
CVE-2023-5809 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-03-13 09:00:08.428500
CVE-2023-5762 1.2.3.6 より前の Filr WordPress プラグインには、RCE (Remote Code Execution) の脆弱性があり、Author レベルの権限を持つユーザに代わってオペレーティングシステムがコマンドを実行し、サーバを完全に侵害する可能性があります。 8.8 CVE
2024-03-13 09:00:08.427899
CVE-2023-5210 3.0までのAMP+ Plus WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 6.1 CVE
2024-03-13 09:00:08.427290
CVE-2023-5141 BSK Contact Form 7 Blacklist WordPress プラグイン 1.0.1 では、inserted_count パラメータをページに出力する前にサニタイズとエスケープを行っていません。 6.1 CVE
2024-03-13 09:00:08.426451
CVE-2023-5137 1.4までのSimply Excerpts WordPressプラグインは、プラグイン設定の一部のフィールドをサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者などの高権限ユーザーが任意のウェブスクリプトを注入できる可能性があります。 4.8 CVE
2024-03-13 09:00:08.425861
CVE-2023-4460 Uploading SVG, WEBP and ICO files WordPress plugin through 1.2.1 は、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザーが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 5.4 CVE
2024-03-13 09:00:08.421928
CVE-2023-6360 WordPress プラグイン 'My Calendar' のバージョン < 3.4.22 には、レストルート '/my-calendar/v1/events' の 'from' および 'to' パラメータに存在する、認証されていない SQL インジェクションの脆弱性があります。 9.8 CVE
2024-03-09 09:00:04.024448
CVE-2023-5803 Business Directory Team Business Directory Plugin - Easy Listing Directories for WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性が存在します。この問題は、Business Directory Plugin - Easy Listing Directories for WordPress: n/a から 6.3.10 に影響します。 8.8 CVE
2024-03-09 09:00:04.023730
CVE-2023-48754 Wap Nepal Delete Post Revisions In WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は、Delete Post Revisions In WordPress: n/a から 4.6 に影響します。 8.8 CVE
2024-03-09 09:00:04.022891
CVE-2023-48328 Imagely WordPress Gallery Plugin - NextGEN Gallery にクロスサイトリクエストフォージェリ(CSRF)の脆弱性 この問題は、WordPress Gallery Plugin - NextGEN Gallery: n/a から 3.37 に影響します。 8.8 CVE
2024-03-09 09:00:04.022087
CVE-2023-37890 WPOmnia KB Support - WordPress Help Desk and Knowledge Base の Missing Authorization 脆弱性により、ACL によって適切に制限されていない機能へのアクセスが可能になります。この問題は、KB Support - WordPress Help Desk and Knowledge Base: n/a から 1.5.88 に影響します。 4.3 CVE
2024-03-09 09:00:04.020356
CVE-2023-37867 この問題は、YetAnotherStarsRating.Com YASR - Yet Another Star Rating Plugin for WordPress における Time-of-check Time-of-use (TOCTOU) Race Condition の脆弱性に影響します。この問題は、YetAnotherStarsRating.Com YASR - Yet Another Star Rating Plugin for WordPress: n/a から 3.3.8 に影響します。 8.1 CVE
2024-03-09 09:00:04.019512
CVE-2023-48323 Awesome Support Team Awesome Support - WordPress HelpDesk & Support Plugin にクロスサイトリクエストフォージェリ (CSRF) の脆弱性 この問題は、Awesome Support - WordPress HelpDesk & Support Plugin: n/a から 6.1.4 に影響します。 8.8 CVE
2024-03-09 09:00:04.018750
CVE-2023-48322 eDoc Intelligence eDoc Employee Job Application - Best WordPress Job Manager for Employees に Web ページ生成時の入力の不適切な中和 ('Cross-site Scripting') 脆弱性があり、Reflected XSS が可能です。この問題は n/a から 1.13 までの eDoc Employee Job Application - Best WordPress Job Manager for Employees に影響します。 6.1 CVE
2024-03-09 09:00:04.014723
CVE-2023-5772 WordPress 用 Debug Log Manager プラグインには、2.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは clear_log() 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストによって、デバッグログをクリアすることが可能です。 4.3 CVE
2024-03-09 03:00:04.900756
CVE-2023-6226 WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、5.13.3 までのすべてのバージョンにおいて、ユーザが制御するキー 'key' と 'post_id' のバリデーションが欠落しているため、su_meta ショートコード経由で安全でない直接オブジェクト参照の脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、他のプラグインと組み合わせることで、機密情報を含む可能性のある任意の投稿メタ値を取得することが可能です。 4.3 CVE
2024-03-07 03:00:04.704350
CVE-2023-6225 WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、5.13.3 までのすべてのバージョンにおいて、ユーザが入力したメタ値の入力サニタイズと出力エスケープが不十分なため、プラグインの su_meta ショートコードと投稿メタデータを組み合わせた Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-03-07 03:00:04.703425
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] (2701)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.