WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2021-36844 | WordPress の MyThemeShop WP Subscribe プラグイン <= 1.2.12 には、認証済み (admin+) の Stored Cross-Site Scripting (XSS) 脆弱性があります。 | 4.8 |
CVE 2022-12-29 03:00:04.301002 |
| CVE-2022-1334 | 1.8.3 以前の WP YouTube Live WordPress プラグインは、設定の検証、サニタイズ、エスケープを行っていないため、unfiltered_html が許可されていない場合でも、admin などの高権限ユーザがクロスサイトスクリプティング攻撃を行う可能性があります。 | 4.8 |
CVE 2022-12-28 23:00:04.512141 |
| CVE-2022-1265 | 6.1 以前の BulletProof Security WordPress プラグインは、CAPTCHA の設定の一部をサニタイズおよびエスケープしないため、unfiltered_html が許可されていない場合でも、高権限のユーザーがクロスサイトスクリプティング攻撃を行うことができる可能性があります。 | 4.8 |
CVE 2022-12-28 09:00:09.851096 |
| CVE-2022-1228 | 1.0.3 以前の Opensea WordPress プラグインは、「Referer address」フィールドなど、一部の設定をサニタイズおよびエスケープしないため、unfiltered_html 機能が許可されていない場合でも、高権限のユーザーがクロスサイトスクリプティング攻撃を行うことができる可能性があります。 | 4.8 |
CVE 2022-12-28 03:00:07.401887 |
| CVE-2022-0418 | 0.8.8 以前の WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html が許可されていない場合でも、admin などの高権限ユーザーが他の admin に対してクロスサイトスクリプティング攻撃を実行することが可能です。 | 4.8 |
CVE 2022-12-27 23:00:04.621276 |
| CVE-2022-1046 | 3.0.7 以前の Visual Form Builder WordPress プラグインは、フォームの 'Email to' フィールドをサニタイズおよびエスケープしないため、 unfiltered_html 機能が許可されていない場合でも、高い権限のユーザーがクロスサイトスクリプティング攻撃を実行する可能性があります。 | 4.8 |
CVE 2022-12-27 09:00:05.667891 |
| CVE-2022-1028 | 4.2.1 以前の WordPress Security Firewall, Malware Scanner, Secure Login and Backup プラグインは、その設定の一部をサニタイズおよびエスケープしないため、管理者権限を持つ悪意のあるユーザーが unfiltered_html を許可しない場合に、クロスサイトスクリプティング攻撃につながる不正な Javascript コードを保存することができます(マルチサイト設定などにおいて)。 | 4.8 |
CVE 2022-12-26 23:00:05.501579 |
| CVE-2022-0662 | 5.8.23 以前の AdRotate WordPress プラグインは、広告名をサニタイズおよびエスケープしないため、unfiltered_html 機能が許可されていない場合でも、高い権限のユーザーがクロスサイトスクリプティング攻撃を実行することが可能です。 | 4.8 |
CVE 2022-12-26 09:00:05.616903 |
| CVE-2019-16780 | 低権限のWordPressユーザー(投稿者等)は、特定のペイロードを使用してブロックエディタにJavaScriptコードを注入し、ダッシュボード内で実行させることができます。これは、管理者がエディタで投稿を開いた場合、XSS につながる可能性があります。この攻撃の実行には、認証されたユーザが必要です。この問題は、WordPress 5.3.1 および 3.7 から 5.3 までのすべての WordPress バージョンで、マイナーリリースにより修正されました。マイナーリリースでは、デフォルトで自動更新が有効になっていますので、有効にしておくことを強くお勧めします。 | 5.4 |
CVE 2022-12-26 09:00:05.615947 |
| CVE-2022-1153 | 7.1.2 以前の LayerSlider WordPress プラグインは、Project のスラッグを様々な場所に出力する前にサニタイズおよびエスケープを行わないため、unfiltered_html が許可されていない場合でも、admin などの高権限ユーザがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2022-12-26 03:00:06.796706 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.