WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1690 | WordPress プラグイン Note Press 0.1.10 では、管理画面の SQL 文で使用する前に、バルクアクションの ID をサニタイズおよびエスケープしていないため、SQL インジェクションになる可能性があります。 | 2.7 |
CVE 2023-04-13 03:00:08.878626 |
| CVE-2022-1688 | WordPress プラグイン Note Press 0.1.10 では、管理画面の SQL 文で id パラメータを使用する前にサニタイズおよびエスケープを行わないため、SQL インジェクションが発生する可能性があります。 | 2.7 |
CVE 2023-04-12 23:00:10.441956 |
| CVE-2020-4050 | 影響を受けるバージョンの WordPress では、`set-screen-option` フィルタの戻り値を誤って使用すると、任意のユーザメタフィールドが保存される可能性があります。この問題を解決するには、管理者がこのフィルタを悪用するプラグインをインストールする必要があります。一度インストールすると、低権限のユーザでも利用することができます。この問題は、バージョン 5.4.2 で修正されています。また、マイナーリリースを通じて、以前に影響を受けたすべてのバージョン (5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34) で修正されています。 | 3.1 |
CVE 2023-04-12 09:01:10.268647 |
| CVE-2019-20043 | WordPress 3.7 から 5.3.0 の wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php において、記事を公開する権利を持っていない認証ユーザーが、REST API を介して記事にスティッキーやアンスティッキーというマークを付けることができるようになっています。例えば、投稿者ロールはそのような権利を持っていませんが、これによって迂回することができました。この問題は、WordPress 5.3.1 で、3.7 から 5.3 までの過去のすべての WordPress バージョンとともに、マイナーリリースによって修正されました。 | 4.3 |
CVE 2023-04-11 23:00:08.383976 |
| CVE-2021-24790 | 1.0.8 までの Contact Form Advanced Database WordPress プラグインは delete_cf7_data と export_cf7_data の AJAX アクションに CSRF チェックと同様に認証が行われておらず、サブスクライバー程度のロールを持つユーザでも呼び出すことが可能です。delete_cf7_data は任意のメタデータを削除することになります。また、他のプラグインに適切なガジェットチェーンがある場合、ユーザデータが最初に検証されることなく maybe_unserialize() 関数に渡されるので、PHP オブジェクトインジェクションにつながります。 | 4.3 |
CVE 2023-04-11 09:00:12.398723 |
| CVE-2021-24583 | 2.4.2以前のTimetable and Event Schedule WordPressプラグインは、タイムスロットを削除する際に適切なアクセス制御を行っていないため、edit_postsケイパビリティ(投稿者+)を持つ任意のユーザーが任意のイベントから任意のタイムスロットを削除できる可能性があります。さらに、CSRFチェックも行われていないため、そのようなケイパビリティでログインしたユーザに対してCSRF経由でこのような攻撃を行うことが可能です。 | 4.3 |
CVE 2023-04-11 03:00:03.850471 |
| CVE-2021-24207 | デフォルトでは、1.2.4以前のWP Page Builder WordPressプラグインは、加入者レベルのユーザーが任意およびすべての投稿ページを編集して変更を加えることができます - ユーザーロールは、特に投稿やページの編集からブロックする必要があります。 | 4.3 |
CVE 2023-04-10 23:00:05.393419 |
| CVE-2021-24836 | 1.7.1 以前の Temporary Login Without Password WordPress プラグインは、設定を更新する際に認証と CSRF チェックを行わないため、購読者などのログインしたユーザが設定を更新できてしまう可能性があります。 | 4.3 |
CVE 2023-04-10 09:00:07.653966 |
| CVE-2022-0165 | Page Builder KingComposer WordPress プラグイン 2.9.6 では、未認証ユーザーと認証ユーザーの両方が利用できる kc_get_thumbn AJAX アクションでユーザーをリダイレクトする前に id パラメーターを検証していません。 | 6.1 |
CVE 2023-04-10 09:00:07.653246 |
| CVE-2021-24661 | PostXâ € Gutenberg Blocks for Post Grid WordPress プラグイン 2.4.10 以前で Saved Templates Addon を有効にすると、Contributor ロール以上のユーザーは、投稿 ID を指定して、他のユーザーが読めないパスワード保護された投稿内容や非公開の投稿内容を読むことができるようになりました。 | 4.3 |
CVE 2023-04-09 23:00:06.466426 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.