見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2022-1320 | 1.2.52 以前の Sliderby10Web WordPress プラグインは、設定の一部を適切にサニタイズおよびエスケープしていないため、unfiltered_html が許可されていない場合でも、admin などの高特権ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-01-18 03:00:06.618928 |
CVE-2022-2149 | 1.0 までの Very Simple Breadcrumb WordPress プラグインは、設定のサニタイズとエスケープを行っていないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を行えるようになっています。 | 4.8 |
CVE 2023-01-17 09:00:07.239418 |
CVE-2022-2151 | 3.7.3 までの Best Contact Management Software WordPress プラグインは、設定のサニタイズとエスケープを行っていないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を行える可能性があります。 | 4.8 |
CVE 2023-01-17 03:00:05.259121 |
CVE-2022-1647 | 1.2.6 以前の FormCraft WordPress プラグインは、フィールドラベルのサニタイズとエスケープを行わないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を行えるようになります。 | 4.8 |
CVE 2023-01-16 23:00:06.513146 |
CVE-2022-29438 | WordPress の Image Slider by NextCode プラグイン <= 1.1.2> に、認証済み(著者以上のユーザーロール)持続的クロスサイトスクリプティング(XSS)の脆弱性が存在します。 | 4.8 |
CVE 2023-01-16 09:00:03.781314 |
CVE-2021-24584 | WordPress 2.4.2 以前の Timetable and Event Schedule プラグインは、タイムスロットを更新する際に適切なアクセス制御を行っておらず、edit_posts 機能を持つユーザー (contributor+) であれば、任意のイベントから任意のタイムスロットを更新できる可能性があります。さらに、CSRFチェックも行われていないため、そのようなケイパビリティでログインしたユーザに対してCSRF経由でこのような攻撃を行うことが可能です。2.3.19 以前のバージョンでは、descritption のようないくつかのフィールドのサニタイズとエスケープの欠如は、 Stored XSS 問題につながる可能性があります。 | 5.4 |
CVE 2023-01-16 09:00:03.777233 |
CVE-2021-24618 | Donate With QRCode WordPress 1.4.5以前のプラグインは、QRCode画像の設定をサニタイズまたはエスケープしていないため、保存型クロスサイトスクリプティング(XSS)となっています。さらに、このプラグインは、この設定を保存する際にCSRFおよびケイパビリティチェックを行わないため、認証済みユーザ(購読者程度)、またはCSRFベクトルによる未認証ユーザが設定を更新し、このような攻撃を実行することが可能です。 | 5.4 |
CVE 2023-01-16 09:00:03.776308 |
CVE-2021-36866 | WordPress の Fatcat Apps Easy Pricing Tables プラグイン <= 3.1.2 に、認証済み (author またはそれ以上のロール) の Stored Cross-Site Scripting (XSS) 脆弱性があります。 | 4.8 |
CVE 2023-01-15 23:00:05.939496 |
CVE-2022-1093 | 4.4.7 以前の WP Meta SEO WordPress プラグインは、ページに出力する前にパンくずセパレータをサニタイズまたはエスケープしないため、フィルタリングされていない html が許可されていない場合でも、管理者などの高権限ユーザーが任意の javascript をページに注入することが可能です。 | 4.8 |
CVE 2023-01-15 09:00:04.613959 |
CVE-2022-2169 | 1.0.83 以前の WordPress プラグイン Loading Page with Loading Screen は、設定をエスケープしないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-01-15 03:00:05.344394 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.