WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-29406 | DynamicWebLab の WordPress Team Manager プラグイン <= 1.6.9 at WordPress に、複数の認証済み (投稿者またはそれ以上のユーザーロール) 保管型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-02 09:00:03.927029 |
| CVE-2022-1393 | 3.4.1 以前の WP Subtitle WordPress プラグインはサブタイトルフィールドを追加し、[wp_subtitle] で表示するためのショートコードを提供しています。サブタイトルはカスタム投稿メタとして "wps_subtitle" というキーで保存され、投稿の保存/更新時にサニタイズされますが、投稿メタの更新ボタンから直接(AJAX経由で)更新する際にはサニタイズされません。 | 5.4 |
CVE 2022-11-13 03:00:04.350849 |
| CVE-2021-24703 | 1.6.1 以前の Download Plugin WordPress プラグインは、dpwap_plugin_activate AJAX アクションにケイパビリティおよび CSRF チェックがないため、購読者などの認証済みユーザーであれば、すでにインストールされているプラグインを有効にすることが可能です。 | 5.7 |
CVE 2022-11-13 03:00:04.349332 |
| CVE-2021-24977 | 6.2.1 以前の Use Any Font | Custom Font Uploader WordPress プラグインは、フォントを割り当てる際に認証チェックを行わないため、認証されていないユーザーが任意の CSS を送信し、それがすべてのユーザーに対してフロントエンドで処理されることがあります。バックエンドでのサニタイズとエスケープが行われていないため、Stored XSS 問題につながる可能性があります。 | 6.1 |
CVE 2022-11-13 03:00:04.345539 |
| CVE-2021-36914 | CalderaWP License Manager (WordPress プラグイン) <= 1.2.11 には、CSRF (Cross-Site Request Forgery) による、Reflected Cross-Site Scripting (XSS) 脆弱性が存在します。 | 6.1 |
CVE 2022-11-13 03:00:04.344882 |
| CVE-2021-24752 | CatchThemes ベンダーの複数のプラグインは、ctp_switch AJAX アクションでケイパビリティおよび CSRF チェックを行わないため、Subscriber などの認証済みユーザが Essential Widgets WordPress plugin 1.9 以前、To Top WordPress plugin 2.3 以前を変更できてしまう可能性があります。3、1.5以前のヘッダー強化WordPressプラグイン、1.6以前の生成子テーマWordPressプラグイン、1.9以前の必須コンテンツタイプWordPressプラグイン、2.7以前のキャッチWebツールWordPressプラグイン、1以前のキャッチ建設中のWordPressプラグインを変更することができます。4、1.6前にキャッチテーマデモのインポートワードプレスプラグイン、1.7前にキャッチStickyメニューのWordPressプラグイン、1.6前にキャッチスクロールプログレスバーのWordPressプラグイン、社会ギャラリーやウィジェットWordPressプラグイン前2.3、キャッチ無限スクロールWordPressプラグイン1前に。9、1.9以前のCatch Import Export WordPressプラグイン、1.7以前のCatch Gallery WordPressプラグイン、1.6以前のCatch Duplicate Switcher WordPressプラグイン、1.7以前のCatch Breadcrumb WordPressプラグイン、2.4の設定以前のCatch IDs WordPress pluginです。 | 5.7 |
CVE 2022-11-13 03:00:04.341562 |
| CVE-2021-24968 | Ultimate FAQ WordPress プラグイン 2.1.2 以前では、ewd_ufaq_welcome_add_faq および ewd_ufaq_welcome_add_faq_page AJAX アクションに、認証済みユーザが利用できる機能と CSRF チェックがありません。その結果、サブスクライバーのような低いロールを持つすべてのユーザーがFAQとFAQの質問を作成することができました。 | 5.7 |
CVE 2022-11-13 03:00:04.336478 |
| CVE-2021-25011 | 1.8.1 以前の Google Maps for WordPress プラグインを使用する Maps Plugin は、その AJAX アクションのほとんどで適切な認証と CSRF が行われていないため、購読者などの任意の認証ユーザーが任意の投稿を削除したりプラグインの設定を更新することができる可能性があります。 | 5.7 |
CVE 2022-11-13 03:00:04.335179 |
| CVE-2022-1269 | 1.2.12 以前の WordPress プラグイン Fast Flow は、管理画面の属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2022-11-13 03:00:04.323197 |
| CVE-2022-1956 | 1.3までのWordPressプラグイン「Shortcut Macros」は、設定を更新する際に認証とCSRFのチェックを行っていないため、購読者などの認証済みユーザーであれば誰でも更新できてしまう可能性があるとのことです。 | 4.3 |
CVE 2022-11-13 03:00:04.309581 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.