WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-27854 | Alexander Ustimenko's Psychological tests & quizzes plugin <= 0.21.19 on WordPress に、&wpt_test_page_submit_button_caption パラメータを介して contributor 以上のロールを持つユーザに対して可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性 があります。 | 5.4 |
CVE 2023-02-02 09:00:05.130698 |
| CVE-2019-16781 | 5.3.1 以前の WordPress では、低い権限を持つ認証済みユーザー (投稿者など) が、ダッシュボード内で実行されるブロックエディタに JavaScript コードを注入することができます。これは、管理者が影響を受ける投稿をエディタで開くと、XSSにつながる可能性があります。 | 5.4 |
CVE 2023-02-01 09:00:04.435512 |
| CVE-2019-20042 | WordPress 3.7 から 5.3.0 の wp-includes/formatting.php において、関数 wp_targeted_link_rel() が特定の方法で使用されると、保存型クロスサイトスクリプティング(XSS)の脆弱性が発生する可能性があることがわかりました。この問題は、WordPress 5.3.1 で、マイナーリリースを通じて 3.7 から 5.3 までのすべての WordPress の旧バージョンと一緒に修正されました。 | 6.1 |
CVE 2023-02-01 09:00:04.434759 |
| CVE-2022-1945 | 1.0.99 以前の Coming Soon & Maintenance Mode by Colorlib WordPress プラグインは、一部の設定をサニタイズおよびエスケープしないため、unfiltered_html が許可されていない場合(マルチサイト設定など)、管理者など高い権限を持つユーザが Stored Cross-Site Scripting を実行することが可能です。 | 4.8 |
CVE 2023-01-30 09:00:04.586137 |
| CVE-2022-2050 | 2.1.9 以前の WP-Paginate WordPress プラグインは、設定の 1 つをエスケープしないため、unfiltered_html が許可されていない場合に、高権限のユーザーが Stored Cross-Site Scripting 攻撃を実行する可能性があります。 | 4.8 |
CVE 2023-01-30 03:00:07.248937 |
| CVE-2022-0663 | 5.2.3 以前の PrintFriendly WordPress プラグインは、カスタムボタンテキスト設定をサニタイズおよびエスケープしないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-01-29 23:00:04.496149 |
| CVE-2022-1266 | 1.5.0 以前の Post Grid, Slider & Carousel Ultimate WordPress プラグインは、Header Title をサニタイズおよびエスケープしないため、unfiltered_html 機能が許可されていない場合でも、高権限のユーザーがクロスサイトスクリプティング攻撃を実行する可能性があります。 | 4.8 |
CVE 2023-01-29 09:00:04.415454 |
| CVE-2022-1772 | 2.0.0 以前の Google Places Reviews WordPress プラグインは、サイトの管理パネルに反映される Google API キーの設定を適切にエスケープしません。悪意のある管理者がこのバグを悪用し、マルチサイト構成のWordPressで、スーパー管理者を騙してブービートラップのペイロードを表示させ、そのアカウントを乗っ取ることが可能です。 | 4.8 |
CVE 2023-01-29 03:00:05.347747 |
| CVE-2022-1889 | 7.4.6 以前の Newsletter WordPress プラグインは preheader_text の設定をエスケープおよびサニタイズしていないため、unfilteredhtml が許可されていない場合、高権限ユーザが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-01-28 23:00:04.028342 |
| CVE-2022-1915 | 2.4 以前の WP Zillow Review Slider WordPress プラグインは設定をエスケープしないため、unfiltered_html 機能が許可されていない場合でも、高権限のユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイトなどにおいて)。 | 4.8 |
CVE 2023-01-27 09:00:05.041291 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.