WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-9531 | WordPress 用 MultiVendorX - The Ultimate WooCommerce Multivendor Marketplace Solution プラグインは、4.2.4 までのすべてのバージョンにおいて、'mvx_sent_deactivation_request' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のベンダーのプロファイルを削除するよう求める定型メールをサイトの管理者に送信することが可能になります。 | 4.3 |
CVE 2025-02-01 03:00:08.205968 |
| CVE-2024-8667 | HurryTimer - An Scarcity and Urgency Countdown Timer for WordPress & WooCommerce plugin for WordPress には、2.10.0 までのすべてのバージョンで activateCampaign() 関数の機能チェックが欠落しているため、不正な投稿が公開される脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、レビュー用に投稿した投稿やサイト管理者が下書きしている投稿のような任意の投稿を公開することが可能になってしまいます。 | 4.3 |
CVE 2025-02-01 03:00:08.205285 |
| CVE-2024-9865 | EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress は、4.0.4.7 までの全てのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'ep_booking_attendee_fields' フィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザが予約のトランザクションログにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.1 |
CVE 2025-02-01 03:00:08.204590 |
| CVE-2024-9864 | EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress は、4.0.4.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、チケット名を介した Stored Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。これは、フロントエンドのユーザがチケットで新しいイベントを送信できる場合にのみ悪用可能です。 | 6.1 |
CVE 2025-02-01 03:00:08.203869 |
| CVE-2024-9374 | WordPress 用 Terms descriptions プラグインは、3.4.6 までのすべてのバージョンで URL に適切なエスケープを施さずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-02-01 03:00:08.201275 |
| CVE-2024-10250 | WordPress 用 Nioland テーマは、1.2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、's' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-31 09:00:34.340644 |
| CVE-2024-8500 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、7.2.2 までのすべてのバージョンにおいて、いくつかのパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-01-31 09:00:34.338254 |
| CVE-2024-9530 | WordPress 用 Qi Addons For Elementor プラグインは、1.8.0 までのすべてのバージョンにおいて、プライベートテンプレートを介した機密情報暴露の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、プライベートなテンプレートの内容を含む機密データを抽出することが可能になります。 | 4.3 |
CVE 2025-01-31 03:00:20.836176 |
| CVE-2024-10045 | WordPress 用 Transients Manager プラグインは、2.0.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは process_actions 関数の nonce 検証の欠落または不正確さによるものです。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによって transients を削除することが可能になります。 | 4.3 |
CVE 2025-01-31 03:00:20.835496 |
| CVE-2024-9947 | WordPress 用 ProfilePress Pro プラグインには、4.11.1 までのすべてのバージョンにおいて、認証バイパスの脆弱性があります。これはソーシャルログイントークンによって返されるユーザーの検証が不十分なためです。このため、認証されていない攻撃者は、電子メールにアクセスすることができ、トークンを返すサービスの既存のアカウントを持っていないユーザであれば、サイトの管理者などの既存のユーザとしてログインすることが可能です。 | 8.1 |
CVE 2025-01-31 03:00:20.834826 |
| CVE-2024-9583 | RSS Aggregator - RSS Import, News Feeds, Feed to Post, and Autoblogging plugin for WordPress は、4.23.12 までのすべてのバージョンにおいて、wprss_ajax_send_premium_support 関数の機能チェックが欠落しているため、機能を不正に使用される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、攻撃者が管理する件名と電子メールアドレスでプレミアムサポートリクエストをサポートに送信し、サイト所有者になりすますことが可能になります。ライセンス情報も流出する可能性があります。 | 4.3 |
CVE 2025-01-31 03:00:20.833869 |
| CVE-2024-9829 | WordPress 用 Download Plugin プラグインは、2.2.0 までのすべてのバージョンにおいて、'dpwap_handle_download_user' および 'dpwap_handle_download_comment' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者は、任意のコメントをダウンロードすることが可能になり、ユーザ名、電子メール、ハッシュ化されたパスワード、アプリケーションパスワード、セッショントークン情報などのユーザPIIや機密情報を含む任意のユーザのメタデータをダウンロードすることができます。 | 6.5 |
CVE 2025-01-31 03:00:20.831494 |
| CVE-2024-9231 | WordPress の WP-Members Membership Plugin プラグインは、3.4.9.5 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、任意のウェブスクリプトをページに注入して実行することが可能になります。 | 6.1 |
CVE 2025-01-30 09:00:05.686140 |
| CVE-2024-10189 | WordPress 用の Anchor Episodes Index (Spotify for Podcasters) プラグインは、2.1.10 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの anchor_episodes ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-30 09:00:05.683788 |
| CVE-2024-9591 | WordPress 用 Category and Taxonomy Image プラグインは、1.0.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'_category_image' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、エディタレベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-01-30 03:00:20.407607 |
| CVE-2024-9590 | WordPress 用の Category and Taxonomy Meta Fields プラグインは、1.0.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'wpaft_add_meta_textinput' 関数の image meta フィールドの値を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、エディタレベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-01-30 03:00:20.407048 |
| CVE-2024-9589 | WordPress 用の Category and Taxonomy Meta Fields プラグインは、1.0.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'wpaft_option_page' 関数の 'new_meta_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-01-30 03:00:20.406485 |
| CVE-2024-9588 | WordPress 用の Category and Taxonomy Meta Fields プラグインは、1.0.0 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。 これは、'wpaft_option_page' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者がタクソノミーのメタを追加したり削除したりすることが可能になり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させることができます。 | 5.4 |
CVE 2025-01-30 03:00:20.405953 |
| CVE-2024-9541 | WordPress 用の News Kit Elementor Addons プラグインは、includes/widgets/canvas-menu/canvas-menu.php の render 関数を経由して、1.2.1 までのすべてのバージョンにおいて、機密情報暴露の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、機密のプライベートデータ、保留中のデータ、および Elementor テンプレートのドラフトデータを抽出することが可能になります。 | 4.3 |
CVE 2025-01-30 03:00:20.405407 |
| CVE-2024-9627 | TeploBot - Telegram Bot for WP plugin for WordPress には、1.3 までのすべてのバージョンにおいて、'service_process' 関数の認可チェックが欠落しているため、機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ボットを制御するための秘密のトークンである Telegram Bot Token を閲覧することが可能になります。 | 8.6 |
CVE 2025-01-30 03:00:20.404779 |
| CVE-2024-8852 | WordPress 用 All-in-One WP Migration and Backup プラグインは、7.86 までのすべてのバージョンにおいて、一般に公開されたログファイルを通じて機密情報を暴露される脆弱性があります。これにより、認証されていない攻撃者が、公開されたログファイルに含まれるフルパスなどの潜在的にセンシティブな情報を閲覧することが可能になります。 | 5.3 |
CVE 2025-01-30 03:00:20.404066 |
| CVE-2024-10003 | WordPress 用 Rover IDX プラグインは、3.0.0.2903 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、不正アクセス、変更、およびデータ損失の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインオプションを追加、変更、削除することが可能になります。 | 6.3 |
CVE 2025-01-30 03:00:20.403371 |
| CVE-2024-10002 | WordPress 用 Rover IDX プラグインには、3.0.0.2905 までのバージョンにおいて、認証バイパスの脆弱性があります。これは、'over_idx_refresh_social_callback' 関数の検証および機能チェックが不十分なためです。これにより、サブスクライバ・レベル以上の権限を持つ、認証された攻撃者が管理者にログインできてしまう。この脆弱性はバージョン 3.0.0.2905 で部分的に修正され、バージョン 3.0.0.2906 で完全に修正されました。 | 8.8 |
CVE 2025-01-30 03:00:20.400692 |
| CVE-2024-49627 | Noor Alam WordPress Image SEO にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は、n/a から 1.1.4 までの WordPress Image SEO に影響します。 | 4.3 |
CVE 2025-01-28 09:00:20.499084 |
| CVE-2024-9897 | WordPress 用 StreamWeasels Twitch Integration プラグインは、1.8.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの sw-twitch-embed ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-27 09:00:05.722767 |
| CVE-2024-9889 | WordPress 用 Elementor プラグイン ElementInvader Addons には、1.2.9 までのすべてのバージョンにおいて、Page Loader ウィジェットを経由した Sensitive Information Exposure の脆弱性がある。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、アクセスすべきでないプライベート/下書き/パスワードで保護された投稿、ページ、Elementorテンプレートを閲覧することが可能になります。 | 4.3 |
CVE 2025-01-27 03:00:07.348431 |
| CVE-2023-6243 | EventON PRO - WordPress Virtual Event Calendar Plugin プラグインは、4.6.8 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは admin_test_email 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、任意のメールアドレスにテストメールを送信することが可能になります。 | 4.3 |
CVE 2025-01-27 03:00:07.347582 |
| CVE-2024-9219 | WordPress Social Share Buttons プラグインは、1.19 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 | 6.1 |
CVE 2025-01-27 03:00:07.346630 |
| CVE-2019-25218 | WordPress 用の Photo Gallery Slideshow & Masonry Tiled Gallery プラグインは、1.0.3 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリに十分な準備がないため、'id' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2025-01-27 03:00:07.343435 |
| CVE-2024-9593 | WordPress 用の Time Clock プラグインおよび Time Clock Pro プラグインには、1.2.2 (Time Clock 用) および 1.1.4 (Time Clock Pro 用) までのバージョンにおいて、'etimeclockwp_load_function_callback' 関数を経由したリモートコード実行の脆弱性があります。これにより、認証されていない攻撃者がサーバー上でコードを実行できるようになります。呼び出される関数のパラメータは指定できません。 | 8.3 |
CVE 2025-01-26 09:00:06.276384 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.