WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-2395 | WordPress 用 Bulgarisation for WooCommerce プラグインには、3.0.14 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、いくつかの関数でnonceバリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させることができる、偽造されたリクエストを介してラベルを生成したり削除したりすることが可能になります。 | 7.3 |
CVE 2024-06-20 09:00:11.956269 |
| CVE-2024-2107 | WordPress 用テーマ Blossom Spa には、1.3.4 までのすべてのバージョンにおいて、生成されたソースを介した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、パスワードで保護された投稿やスケジュールされた投稿の内容を含む機密データを抽出することが可能になります。 | 5.8 |
CVE 2024-06-20 09:00:11.955522 |
| CVE-2024-0386 | WordPress 用 weForms プラグインは、1.6.21 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'Referer' HTTP ヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2024-06-20 09:00:11.954810 |
| CVE-2024-2130 | WordPress 用 CWW Companion プラグインは、1.2.7 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、Module2 ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-06-20 09:00:11.954032 |
| CVE-2024-2031 | WordPress 用 Video Conferencing with Zoom プラグインは、4.4.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'zoom_recordings_by_meeting' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-06-20 09:00:11.953406 |
| CVE-2023-4731 | WordPress 用 LadiApp プラグインは、4.4 までのバージョンにおいて、'init' を介してフックされる init_endpoint() 関数の nonce チェックが欠落しているため、クロスサイトリクエストフォージェリの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを経由して、様々な設定を変更することが可能になります。攻撃者は「ladipage_key」を直接変更することができ、ウェブサイト上に新しい投稿を作成したり、悪意のあるウェブスクリプトを注入したりすることができます、 | 4.3 |
CVE 2024-06-20 09:00:11.952744 |
| CVE-2023-4729 | WordPress 用 LadiApp プラグインは、4.4 までのバージョンにおいて、AJAX アクション経由でフックされる publish_lp() 関数の nonce チェックが欠落しているため、クロスサイトリクエストフォージェリの脆弱性があります。これにより、認証されていない攻撃者が LadiPage キー (攻撃者が完全に制御するキー) を変更することが可能になり、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを経由して、保存された XSS をトリガーするウェブページを含む新しいページを自由に作成できるようになります。 | 4.3 |
CVE 2024-06-20 09:00:11.952155 |
| CVE-2023-4728 | WordPress 用 LadiApp プラグインは、4.4 までのバージョンにおいて、AJAX アクションを介してフックされる publish_lp() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、加入者レベル以上のアクセス権を持つ認証済みの攻撃者は、LadiPage キー (攻撃者が完全に制御できるキー) を変更することが可能となり、保存された XSS をトリガーするウェブページを含む、新しいページを自由に作成できるようになります。 | 4.3 |
CVE 2024-06-20 09:00:11.951575 |
| CVE-2023-4629 | WordPress 用 LadiApp プラグインは、4.3 までのバージョンにおいて save_config() 関数の nonce チェックが欠落しているため、クロスサイトリクエストフォージェリの脆弱性があります。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽のリクエストを使って「ladipage_config」オプションを更新することが可能です。 | 4.3 |
CVE 2024-06-20 09:00:11.951002 |
| CVE-2023-4628 | WordPress 用 LadiApp プラグインは、4.4 までのバージョンで ladiflow_save_hook() 関数の nonce チェックが欠落しているため、クロスサイトリクエストフォージェリの脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使用して、'ladiflow_hook_config' オプションを更新することが可能です。 | 4.3 |
CVE 2024-06-20 09:00:11.950380 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.