見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2021-25025 | 1.1.51 以前の EventCalendar WordPress プラグインは、add_calendar_event AJAX アクションで適切な認証と CSRF チェックを行っていないため、subscriber といった低いロールのユーザーでもイベントを作成することが可能です。 | 4.3 |
CVE 2023-04-09 09:00:10.937071 |
CVE-2021-24730 | Logo Showcase with Slick Slider WordPress プラグイン 1.2.5 以前では、lswss_save_attachment_data AJAX アクションに CSRF および認証チェックがないため、購読者などの認証済みユーザが、任意のアップロードメディアのタイトル、説明、alt テキスト、URLを変更することが可能です。 | 4.3 |
CVE 2023-04-09 03:00:08.785786 |
CVE-2022-2144 | 5.3 より前の Jquery Validation For Contact Form 7 WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって default_role や users_can_register などの Blog オプションを変更させられる可能性があります。 | 4.3 |
CVE 2023-04-08 23:00:07.221131 |
CVE-2021-24851 | WordPress 3.7.0 以前の Insert Pages プラグインでは、Contributor 以下のロールを持つユーザーが、ショートコードを使用して、任意の投稿/ページのコンテンツやメタデータに、その著者やステータス(非公開など)に関係なくアクセスできるようになっています。パスワードで保護された投稿/ページは、この問題の影響を受けません。 | 4.3 |
CVE 2023-04-08 09:00:06.722745 |
CVE-2022-1844 | 1.0 までの WP Sentry WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更し、サニタイズとエスケープの不足により Stored Cross-Site Scripting につながる可能性があります。 | 4.3 |
CVE 2023-04-08 03:00:09.860402 |
CVE-2022-1845 | 1.3.1 以前の WP Post Styling WordPress プラグインは、各種アクションに CSRF チェックがないため、ログインした管理者に CSRF 攻撃でプラグインのデータ削除、設定の更新、新規エントリーの追加などをさせられる可能性があります。 | 4.3 |
CVE 2023-04-07 23:00:06.084932 |
CVE-2017-20053 | XYZScripts Contact Form Manager Plugin に脆弱性が発見されました。このプラグインは問題があることが宣言されています。この脆弱性の影響を受けるのは、未知の機能です。この操作により、クロスサイトリクエストフォージェリーが引き起こされます。この攻撃はリモートで実行可能です。この脆弱性は一般に公開されており、利用される可能性があります。 | 4.3 |
CVE 2023-04-07 09:00:06.828751 |
CVE-2022-1842 | OpenBook Book Data WordPress プラグイン 3.5.2 は、設定の更新時に CSRF チェックを行わないため、ログインした管理者に CSRF 攻撃で設定を変更させ、サニタイズとエスケープの不足により、Stored Cross-Site Scripting につながる可能性があります。 | 4.3 |
CVE 2023-04-07 03:00:09.429381 |
CVE-2022-1625 | 2.4 以前の New User Approve WordPress プラグインは、設定の更新および招待コードの追加時に CSRF チェックを行わないため、攻撃者が招待コードを追加したり(提供された制限を回避するため)、管理者ユーザーを騙して特別に細工したウェブサイトを訪問させてプラグインの設定を変更することができる可能性があります。 | 4.3 |
CVE 2023-04-06 23:00:10.034451 |
CVE-2022-1653 | 2.2.4以前のSocial Share Buttons by Supsystic WordPressプラグインは、ajaxエンドポイントおよび管理ページでCSRFチェックを行わないため、攻撃者がログインしたユーザーを騙してプラグインの設定を変更したり、プロジェクトやネットワークの作成、削除、名前の変更などができる可能性があります。 | 4.3 |
CVE 2023-04-06 09:00:04.259228 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.