WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1627 | 3.0.8 以前の My Private Site WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、CSRF 攻撃によりログインした管理者に設定を変更させられる可能性があります。 | 4.3 |
CVE 2023-04-05 23:00:08.852378 |
| CVE-2021-24570 | 1.3.1以前のAccept Donations with PayPal WordPressプラグインでは、寄付ボタンを作成する機能があり、内部的には投稿となっています。新しいボタンを作成するための処理には、CSRF チェックが欠落しています。攻撃者はこれを利用して、認証された管理者に新しいボタンを作成させることができます。さらに、Button の編集時に、Button フィールドのひとつが属性に出力される前にエスケープされていないため、同様に Stored Cross-Site Scripting の問題が発生します。 | 4.3 |
CVE 2023-04-05 03:00:07.975418 |
| CVE-2021-24431 | 1.0.8 までの Language Bar Flags WordPress プラグインは、設定を保存する際に CSRF が適用されず、フロントエンドでフラグバーを生成する際にサニタイズまたはエスケープされていません。このため、ログインしている管理者が設定を変更し、クロスサイトスクリプティングのペイロードを設定し、すべてのユーザのフロントエンドで実行される可能性があります。 | 4.3 |
CVE 2023-04-04 23:00:13.307819 |
| CVE-2021-24801 | WP Survey Plus WordPress プラグイン 1.0 では、AJAX アクションの認証と CSRF チェックが行われていないため、任意のユーザーがこれらを呼び出してアンケートを追加/編集/削除することができます。さらに、アンケートのタイトルにサニタイズ処理が施されていないため、保存されたクロスサイトスクリプティングの問題につながる可能性もあります。 | 4.3 |
CVE 2023-04-04 09:00:10.250586 |
| CVE-2021-24164 | 3.4.34.1 より前の Ninja Forms Contact Form WordPress プラグインでは、購読者などの低レベルのユーザーがアクション wp_ajax_nf_oauth をトリガーして接続を確立するのに必要な接続 URL を取得することが可能でした。また、すでに確立されている OAuth 接続の client_id を取得することもできました。 | 4.3 |
CVE 2023-04-04 03:00:08.619190 |
| CVE-2021-24586 | 1.4.4 より前の Per page add to head WordPress プラグインは、設定保存時の CSRF チェックを欠いており、ログインした管理者に設定を変更させることが可能です。さらに、このプラグインは、設定の一つに任意の HTML を挿入することができるため(プラグインが言及している機能)、使用するペイロードに応じて、バックエンド、フロントエンド、またはその両方で引き起こされる Stored XSS 問題につながる可能性があります。 | 4.3 |
CVE 2023-04-03 09:00:05.280404 |
| CVE-2022-1913 | 2.1.0 までの Add Post URL WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者に CSRF 攻撃で設定を変更させ、サニタイズとエスケープの不足により、Stored Cross-Site Scripting につながる可能性があります。 | 4.3 |
CVE 2023-04-03 03:00:05.895459 |
| CVE-2022-1895 | 1.20 以前の UnderConstruction WordPress プラグインは、工事モードを解除する際に CSRF チェックを行わないため、CSRF 攻撃により、ログインした管理者にその動作を実行させられる可能性があります。 | 4.3 |
CVE 2023-04-02 23:00:06.046972 |
| CVE-2022-1573 | 1.0.0 までの HTML2WP WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者に設定を変更させられる可能性があります。 | 4.3 |
CVE 2023-04-02 09:00:07.797752 |
| CVE-2021-24355 | 2.0.4 以前の Simple 301 Redirects by BetterLinks WordPress プラグインでは、AJAX アクションの simple301redirects/admin/get_wildcard と simple301redirects/admin/wildcard でケイパビリティチェックと nonce チェックが不十分なため、認証済みのユーザーがリダイレクトのワイルドカード値を取得および更新できる可能性がありました。 | 4.3 |
CVE 2023-04-02 03:00:06.889573 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.