WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-3134 Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor plugin for WordPress は、2.0.6.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、title_html_tag 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.011478
CVE-2024-4204 WordPress 用 Bulk Posts Editing For WordPress プラグインには、4.2.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、プラグインの AJAX アクションにおける nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる偽造されたリクエストを介して、投稿の作成や複製、投稿内容の取得、投稿タクソノミーの変更などが可能になります。 4.3 CVE
2024-08-24 09:00:04.010765
CVE-2024-3609 ReviewX - Multi-criteria Rating & Reviews for WooCommerce plugin for WordPress は、1.6.27 までのすべてのバージョンにおいて、reviewx_remove_guest_image 関数の機能チェックが欠落しているため、データを不正に削除される脆弱性があります。これにより、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が添付ファイルを削除することが可能になります。 4.3 CVE
2024-08-24 09:00:04.010146
CVE-2024-2619 Elementor Header & Footer Builder for WordPress は、1.6.26 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、HTML インジェクションの脆弱性があります。これにより、作者レベル以上の権限を持つ認証済みの攻撃者が、ユーザーが注入されたページにアクセスするたびに表示されるページ内に任意の HTML を注入することが可能になります。 5.0 CVE
2024-08-24 09:00:04.009502
CVE-2024-4580 WordPress 用 Elementor プラグイン Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations には、入力のサニタイズと出力のエスケープが不十分なため、2.0.6.0 までのバージョンにおいて、いくつかのパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.008774
CVE-2024-4838 WordPress 用 ConvertPlus プラグインは、3.5.26 までのすべてのバージョンにおいて、ショートコード 'smile_modal' の 'settings_encoded' 属性から信頼できない入力をデシリアライズすることにより、PHP オブジェクトインジェクションの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP Object を注入することが可能となります。脆弱なプラグインには POP チェーンは存在しません。対象のシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、機密データを取得したり、コードを実行したりできる可能性があります。 8.8 CVE
2024-08-24 09:00:04.008124
CVE-2024-4634 WordPress 用 Elementor Header & Footer Builder プラグインは、1.6.28 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'hfe_svg_mime_types' 関数を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.007495
CVE-2024-4617 WordPress 用プラグイン Rank Math SEO with AI Best SEO Tools には、入力のサニタイズと出力のエスケープが不十分なため、1.0.218 までのバージョンにおいて、'id' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.006687
CVE-2024-4400 Post and Page Builder by BoldGrid - Visual Drag and Drop Editor plguin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、1.26.4 までのバージョンにおいて、未知のパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.005973
CVE-2024-4385 WordPress 用 Envo Extra プラグインには、1.8.16 までのバージョンにおいて、入力のサニタイズおよび出力のエスケープが不十分なため、複数のパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.005107
CVE-2024-4288 WordPress 用 Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin プラグインは、1.6.7.14 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'link' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.004191
CVE-2024-4352 WordPress 用 Tutor LMS Pro プラグインには、'get_calendar_materials' 関数の機能チェックが欠落しているため、データへの不正アクセス、データの改ざん、データの消失などの脆弱性があります。また、このプラグインは、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリに十分な準備がないため、この関数の 'year' パラメータを介して SQL インジェクションを受ける脆弱性があります。 これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 8.8 CVE
2024-08-24 09:00:04.003361
CVE-2024-4351 WordPress 用 Tutor LMS Pro プラグインは、2.7.0 までのすべてのバージョンにおいて、'authenticate' 機能の機能チェックが欠落しているため、データへの不正アクセス、データの変更、データの損失などの脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、既存の管理者アカウントを制御することが可能になります。 8.8 CVE
2024-08-24 09:00:04.002591
CVE-2024-4222 WordPress 用 Tutor LMS Pro プラグインは、2.7.0 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、データへの不正アクセス、データの変更、データの損失などの脆弱性があります。これにより、認証されていない攻撃者がユーザーメタやプラグインオプションを追加、変更、削除することが可能になります。 7.3 CVE
2024-08-24 09:00:04.001837
CVE-2024-4391 WordPress 用 Elementor プラグイン Happy Addons には、3.10.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのイベントカレンダーウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 09:00:04.000963
CVE-2024-4223 WordPress 用の Tutor LMS プラグインには、2.7.0 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、データへの不正アクセス、データの変更、データの損失などの脆弱性があります。これにより、認証されていない攻撃者がデータを追加、変更、削除することが可能になります。 9.8 CVE
2024-08-24 09:00:03.999953
CVE-2024-3887 WordPress 用 Royal Elementor Addons and Templates プラグインは、1.3.974 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、フォームビルダーウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-08-24 09:00:03.996812
CVE-2024-4546 WordPress 用 Custom Post Type Attachment プラグインは、3.4.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'pdf_attachment' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 03:00:07.777275
CVE-2024-4478 WordPress用プラグインHappy Addons for Elementorは、3.10.7までのすべてのバージョンにおいて、ユーザが提供する'tooltip_position'属性の入力サニタイズと出力エスケープが不十分なため、Image Stack Groupウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 03:00:07.776572
CVE-2024-4635 Menu Icons by ThemeIsle プラグインは、0.13.13 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'add_mime_type' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-24 03:00:07.775891
CVE-2024-4318 WordPress 用 Tutor LMS プラグインは、2.7.0 までのバージョンにおいて、'question_id' パラメータを経由した時間ベースの SQL インジェクションの脆弱性があります。 このため、Instructorレベル以上の権限を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能です。 8.8 CVE
2024-08-24 03:00:07.775209
CVE-2024-4279 Tutor LMS - eLearning and online course solution plugin for WordPress は、2.7.0 までのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'tutor_course_delete' 関数を経由した、安全でない直接オブジェクト参照による任意のコース削除の脆弱性があります。これにより、インストラクターレベル以上の権限を持つ、認証された攻撃者が任意のコースを削除することができます。 6.5 CVE
2024-08-24 03:00:07.774464
CVE-2024-3643 1.2までのNewsletter Popup WordPressプラグインは、リストを削除する際にCSRFチェックを行っていないため、攻撃者はCSRF攻撃によってログインした管理者にそのようなアクションを実行させることができる。 8.8 CVE
2024-08-24 03:00:07.773665
CVE-2024-3750 Visualizer:Visualizer: Tables and Charts Manager for WordPress プラグインは、3.10.15 までのすべてのバージョンにおいて、getQueryData() 関数の機能チェックが欠落しているため、データを不正に変更および取得される脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が任意の SQL クエリを実行することが可能となり、特権の昇格をはじめとする様々な行為に悪用される可能性があります。 8.8 CVE
2024-08-24 03:00:07.770897
CVE-2024-4984 WordPress 用 Yoast SEO プラグインは、22.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'display_name' author meta を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-23 23:00:05.583935
CVE-2024-4670 WordPress 用 All-in-One Video Gallery プラグインは、3.6.5 までのすべてのバージョンにおいて、aiovg_search_form ショートコード経由でローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これにより、アクセス制御を回避したり、機密データを取得したり、画像やその他の「安全な」ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりすることができます。 8.8 CVE
2024-08-23 09:00:07.087446
CVE-2024-4702 WordPress 用 Mega Elements プラグインは、1.2.1 までのすべてのバージョンにおいて、 ユーザーが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの Button ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-23 09:00:07.086358
CVE-2024-4010 WordPress 用 Email Subscribers by Icegram Express プラグインは、5.7.19 までのすべてのバージョンにおいて、handle_ajax_request 関数の機能チェックが欠落しているため、データへの不正アクセス、データの変更、データの消失の脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、複数の不正なアクションを実行することで、機密性、完全性、可用性の損失を引き起こすことが可能になります。これらのアクションのいくつかは、PHP オブジェクトインジェクションや SQL インジェクション攻撃にも利用可能です。 8.8 CVE
2024-08-23 09:00:07.050387
CVE-2024-4636 WordPress 用プラグイン Optimole Image Optimization by Optimole - Lazy Load, CDN, Convert WebP & AVIF には、入力のサニタイズと出力のエスケープが不十分なため、3.12.10 までのバージョンにおいて、'allow_meme_types' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-23 03:00:05.105395
CVE-2024-3749 4.71 までの SP Project & Document Manager WordPress プラグインには適切なアクセス制御がなく、ログインしたユーザーが他のユーザーのファイルを閲覧したりダウンロードしたりすることができます。 6.5 CVE
2024-08-23 03:00:05.104833
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.