WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-10299 | WPBifröst - Instant Passwordless Temporary Login Links plugin for WordPress は、1.0.7 までのすべてのバージョンにおいて、ctl_create_link AJAX アクションの機能チェックが欠落しているため、特権昇格の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、新しい管理ユーザーアカウントを作成し、そのアカウントでログインすることが可能になります。 | 8.8 |
CVE 2026-01-19 09:00:12.377760 |
| CVE-2025-10294 | WordPress 用 OwnID Passwordless Login プラグインは、1.3.4 までのすべてのバージョンにおいて Authentication Bypass の脆弱性があります。これは、プラグインが JWT 経由でユーザーを認証する前に ownid_shared_secret の値が空かどうかを適切にチェックしないためです。これにより、プラグインがまだ完全に設定されていないインスタンスで、認証されていない攻撃者が管理者を含む他のユーザーとしてログインすることが可能になります。 | 9.8 |
CVE 2026-01-19 09:00:12.376258 |
| CVE-2025-10293 | WordPress 用の Keyy Two Factor Authentication (Clef のような) プラグインは、1.2.3 までのすべてのバージョンにおいて、アカウント乗っ取りによる権限昇格の脆弱性があります。これは、プラグインが、生成されたトークンに関連付けられたユーザーの身元を適切に検証しないことに起因します。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、有効な認証トークンを生成し、管理者が2FAを設定している限り、管理者を含む他のアカウントとして自動ログインするためにそれを活用することが可能になります。 | 8.8 |
CVE 2026-01-19 09:00:12.311469 |
| CVE-2025-10194 | WordPress 用 Shortcode Button プラグインは、1.1.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.310957 |
| CVE-2025-10186 | WhyDonate - FREE Donate button - Crowdfunding - Fundraising plugin for WordPress は、4.0.14 までのすべてのバージョンにおいて、remove_row 関数の機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、認証されていない攻撃者が wp_wdplugin_style テーブルから行を削除することが可能になります。 | 5.3 |
CVE 2026-01-19 09:00:12.310404 |
| CVE-2025-10141 | WordPress 用 Digiseller プラグインは、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'ds' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.309533 |
| CVE-2025-10140 | WordPress 用 Quick Social Login プラグインは、1.4.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'quick-login' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.308988 |
| CVE-2025-10139 | WordPress 用 WP BookWidgets プラグインは、0.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'bw_link' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.307896 |
| CVE-2025-10135 | WordPress 用 WP ViewSTL プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'viewstl' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.307070 |
| CVE-2025-10133 | WordPress 用 URLYar URL Shortner プラグインは、1.1.0 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'urlyar_shortlink' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.304901 |
| CVE-2025-10132 | WordPress 用 Dhivehi Text プラグインは、0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'dhivehi' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.304092 |
| CVE-2025-10056 | WordPress 用 Task Scheduler プラグインは、1.6.3 までのすべてのバージョンにおいて、"Check Website" タスクを経由した Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 4.4 |
CVE 2026-01-19 09:00:12.303564 |
| CVE-2025-10051 | WordPress 用 Demo Import Kit プラグインは、1.1.0 までのすべてのバージョンにおいて、import 機能を介したファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-01-19 09:00:12.303049 |
| CVE-2025-10045 | WordPress 用 onOffice for WP-Websites プラグインは、5.7 までのすべてのバージョンにおいて、'order' パラメータを介した SQL インジェクションの脆弱性があります。 このため、エディタレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能です。 | 4.9 |
CVE 2026-01-19 09:00:12.302555 |
| CVE-2025-10041 | WordPress 用 Flex QR Code Generator プラグインは、1.2.5 までのすべてのバージョンにおいて、 thesave_qr_code_to_db() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2026-01-19 09:00:12.302043 |
| CVE-2025-10038 | WordPress 用 Binary MLM Plan プラグインは、3.0 までのすべてのバージョンにおいて、限定的な特権昇格の脆弱性があります。これは bmp_user ロールが、プラグインのフォームから登録されたすべてのユーザに manage_bmp 機能をデフォルトで付与しているためです。これにより、認証されていない攻撃者がプラグインを登録し、プラグインの設定を管理することが可能になります。 | 6.5 |
CVE 2026-01-19 09:00:12.301512 |
| CVE-2025-11501 | WordPress 用の Dynamically Display Posts プラグインは、1.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、'tax_query' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-01-19 09:00:12.300801 |
| CVE-2025-11161 | WordPress 用 WPBakery Page Builder プラグインには、8.6.1 までのすべてのバージョンにおいて、vc_custom_heading ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、許可される HTML タグの制限が不十分であることと、font_container パラメータでユーザが提供する属性のサニタイズが不適切であることが原因です。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者は、WPBakeryショートコードを使用するアクセス権を持っているユーザが悪意のあるタグとテキスト属性を持つvc_custom_headingショートコードを介して注入されたページにアクセスするたびに実行される任意のWebスクリプトを投稿に注入することが可能になります。 | 6.4 |
CVE 2026-01-19 09:00:12.299878 |
| CVE-2025-11160 | WordPress 用 WPBakery Page Builder プラグインには、8.6.1 までのすべてのバージョンにおいて、Custom JS モジュールを介した Stored Cross-Site Scripting の脆弱性があります。これは、Custom JS モジュールにおいて、ユーザが提供する JavaScript コードの入力サニタイズと出力エスケープが不十分であることが原因です。このため、投稿タイプのWPBakeryエディタへのアクセス権を持っているユーザがWPBakery Page Builder Custom JSモジュールを介して注入されたページにアクセスするたびに実行される、ページ内の任意のWebスクリプトを、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が注入することが可能になります。 | 6.4 |
CVE 2026-01-19 09:00:12.299018 |
| CVE-2025-8561 | WordPress 用 Ova Advent プラグインは、1.1.7 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズおよび出力のエスケープが不十分なため、プラグインのショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.298526 |
| CVE-2025-6042 | pebas® Lisfinity WordPress テーマプラグインで使用されている Lisfinity Core - Lisfinity Core プラグインは、1.4.0 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これはプラグインがデフォルトでエディタロールを割り当てているためです。機能に関する制限は設けられていますが、API の使用は制限されていません。この脆弱性は CVE-2025-6038 と共に管理者権限を得るために利用可能です。 | 7.3 |
CVE 2026-01-19 09:00:12.298039 |
| CVE-2025-11176 | WordPress 用の Quick Featured Images プラグインは、13.7.2 までのすべてのバージョンにおいて、qfi_set_thumbnail および qfi_delete_thumbnail AJAX アクションを経由する、安全でない直接オブジェクト参照の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者が、他のユーザの投稿のフィーチャ画像を変更したり削除したりすることが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.297522 |
| CVE-2025-10406 | 3.1以前のBlindMatrix e-Commerce WordPressプラグインは、インクルード関数/秒に渡されるパスを生成するために使用する前に、いくつかのショートコード属性を検証しないため、投稿者のような認証されたユーザーであれば、LFI攻撃を実行することができます。 | 5.5 |
CVE 2026-01-19 09:00:12.296758 |
| CVE-2025-11746 | WordPress 用 XStore テーマは、9.5.4 までの全てのバージョンにおいて、et_ajax_required_plugins_popup() 関数を経由したローカルファイル インクルード(Local File Inclusion)の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意の .php ファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、.php ファイルがアップロードされ、インクルードされる場合、アクセス制御をバイパスしたり、機密データを取得したり、コードを実行したりするために使用できます。 | 8.8 |
CVE 2026-01-19 09:00:12.296229 |
| CVE-2025-8594 | 2.5.7以前のPz-LinkCard WordPressプラグインは、パラメータへのリクエストを行う前にパラメータを検証しないため、Contributor程度のロールを持つユーザがSSRF攻撃を行える可能性があります。 | 3.8 |
CVE 2026-01-19 09:00:12.295716 |
| CVE-2025-10732 | WordPress 用プラグイン SureForms - Drag and Drop Form Builder には、1.12.1 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これは '/wp-json/sureforms/v1/srfm-global-settings' REST API エンドポイントにおける不適切なアクセス制御の実装によるものです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、Google reCAPTCHA、Cloudflare Turnstile、hCaptcha、管理者のメールアドレス、セキュリティ関連のフォーム設定の API キーなどの機密情報を取得することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.294881 |
| CVE-2025-10357 | 2.0.32より前のSimple SEO WordPressプラグインは、ページ内でパラメータを出力する際に、一部のパラメータをサニタイズおよびエスケープしていないため、contributor程度のロールを持つユーザーにクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 6.1 |
CVE 2026-01-19 09:00:12.294378 |
| CVE-2025-9698 | 6.3.16より前のPlus Addons for Elementor WordPressプラグインは、SVGファイルの内容をサニタイズしていません。このため、最小限のロールアクセスをAuthorとして持つユーザーに、Stored Cross-Site Scripting攻撃を許してしまう可能性があります。 | 6.8 |
CVE 2026-01-19 09:00:12.293870 |
| CVE-2025-9975 | WordPress 用 WP Scraper プラグインには、wp_scraper_extract_content 関数を経由した、5.8.1 までのすべてのバージョンにおける Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。クラウドインスタンスでは、この問題はメタデータの取得を可能にします。 | 6.8 |
CVE 2026-01-19 09:00:12.293030 |
| CVE-2025-9950 | Error Log Viewer by BestWebSoft プラグインは、1.1.6 までのすべてのバージョンにおいて、rrrlgvwr_get_file 関数を経由したディレクトリトラバーサルの脆弱性があります。これにより、Administrator レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 4.9 |
CVE 2026-01-19 09:00:12.292493 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.