WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-9674 | WordPress 用プラグイン Debrandify - Remove or Replace WordPress Branding には、1.1.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 09:00:06.275802 |
| CVE-2024-9425 | WordPress 用の Advanced Category and Custom Taxonomy Image プラグインは、1.0.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの ad_tax_image ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 09:00:06.275147 |
| CVE-2024-49231 | Peter CyClop WordPress Video には、Web ページ生成時の入力の不適切な中和(XSS または 'クロスサイトスクリプティング')の脆弱性があり、Stored XSS が可能です。この問題は、n/a から 1.0 までの WordPress Video に影響します。 | 6.5 |
CVE 2025-01-26 09:00:06.274405 |
| CVE-2024-10057 | WordPress 用 RSS Feed Widget プラグインは、2.9.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの rfw-youtube-videos ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 09:00:06.271748 |
| CVE-2024-10080 | WordPress 用 WP Easy Post Types プラグインは、1.4.4 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、post meta を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 03:00:05.540652 |
| CVE-2024-10079 | WordPress 用 WP Easy Post Types プラグインは、1.4.4 までのバージョンにおいて、'ajax_import_content' 関数の 'text' パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、購読者レベル以上の権限を持つ認証済みの攻撃者が PHP オブジェクトを注入することが可能となります。脆弱なプラグインには POP チェーンが存在しません。対象のシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 | 8.8 |
CVE 2025-01-26 03:00:05.539645 |
| CVE-2024-10055 | WordPress 用の Click to Chat - WP Support All-in-One Floating Widget プラグインは、2.3.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wpsaio_snapchat ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 03:00:05.537663 |
| CVE-2024-9703 | WordPress 用 Arconix Shortcodes プラグインは、2.1.12 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'button' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 03:00:05.536634 |
| CVE-2024-9206 | WordPress 用 MAS Companies For WP Job Manager プラグインは、1.0.13 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.535714 |
| CVE-2024-9892 | WordPress 用 Add Widget After Content プラグインは、2.4.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-01-26 03:00:05.535111 |
| CVE-2024-9848 | WordPress 用 Product Customizer Light プラグインは、1.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 03:00:05.534522 |
| CVE-2024-9452 | WordPress 用 Branding プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Authorレベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーがSVGファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 03:00:05.533987 |
| CVE-2024-9383 | WordPress 用 Parcel Pro プラグインは、1.8.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「action」パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.533449 |
| CVE-2024-9382 | WordPress 用 Gantry 4 Framework プラグインは、4.1.21 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'override_id' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.532824 |
| CVE-2024-9373 | WordPress 用 Elemenda プラグインは、0.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 03:00:05.532220 |
| CVE-2024-9366 | WordPress 用 WPZest プラグイン Easy Menu Manager には、1.0.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 03:00:05.531546 |
| CVE-2024-9364 | SendGrid for WordPress プラグインは、1.4 までのすべてのバージョンにおいて、'wp_mailplus_clear_logs' 関数の機能チェックが欠落しているため、データを不正に損失する脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインのログファイルを削除することが可能です。 | 4.3 |
CVE 2025-01-26 03:00:05.530874 |
| CVE-2024-9361 | 画像一括オプティマイザ:WordPress 用プラグイン Resize, optimize, convert to webp, rename ... は、2.0.1 までのすべてのバージョンにおいて、'save_configuration' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者がプラグインオプションを更新することが可能です。 | 4.3 |
CVE 2025-01-26 03:00:05.530072 |
| CVE-2024-9350 | WordPress 用 DPD Baltic Shipping プラグインは、1.2.83 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'search_value' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.529298 |
| CVE-2024-8916 | WordPress 用 Suki Sites Import プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-26 03:00:05.528492 |
| CVE-2024-8790 | WordPress 用 Social Share With Floating Bar プラグインは、1.0.3 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.527805 |
| CVE-2024-8740 | WordPress 用の GetResponse Forms by Optin Cat プラグインは、2.5.6 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.526804 |
| CVE-2024-10049 | WordPress 用 Edit WooCommerce Templates プラグインは、1.1.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-26 03:00:05.526020 |
| CVE-2024-10040 | WordPress 用の Infinite-Scroll プラグインには、2.6.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、process_ajax_edit および process_ajax_delete 関数における nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、偽造されたリクエストを使用してプラグインの設定を変更することが可能になります。 | 5.3 |
CVE 2025-01-26 03:00:05.524895 |
| CVE-2024-10014 | WordPress 用 Flat UI Button プラグインは、バージョン 1.0 において、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの flatbtn ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-26 03:00:05.522028 |
| CVE-2024-49302 | この問題は、WordPress Portfolio Builder - Portfolio Gallery の n/a から 1.1.7 に存在する Stored XSS に影響します。 | 6.5 |
CVE 2025-01-25 09:00:07.762228 |
| CVE-2024-49322 | CodePassenger Job Board Manager for WordPress に特権の不正な割り当ての脆弱性があり、特権の昇格が可能です。この問題は、Job Board Manager for WordPress: n/a から 1.0 に影響します。 | 9.8 |
CVE 2025-01-25 09:00:07.761682 |
| CVE-2024-9898 | WordPress 用 Parallax Image プラグインは、1.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの dd-parallax ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-25 09:00:07.761061 |
| CVE-2024-8920 | WordPress 用 Fonto - Custom Web Fonts Manager プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-25 09:00:07.757985 |
| CVE-2024-9951 | WordPress 用 WP Photo Album Plus プラグインは、8.8.05.003 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'wppa-tab' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-01-25 03:00:07.222000 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.