見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2022-23180 | 1.7.4 より前の Contact Form & Lead Form Elementor Builder WordPress プラグインには認証チェックと nonce チェックがありません。 | 4.3 |
CVE 2024-04-25 09:00:04.168409 |
CVE-2022-23179 | 1.7.0 より前の Contact Form & Lead Form Elementor Builder WordPress プラグインでは、フォームフィールドを属性で出力する前にエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、高い権限のユーザーにクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 4.8 |
CVE 2024-04-25 09:00:04.167797 |
CVE-2022-1760 | 1.2.1までのCore Control WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、攻撃者がCSRF攻撃によってログインした管理者に設定を変更させる可能性がある。 | 4.3 |
CVE 2024-04-25 09:00:04.167085 |
CVE-2022-1618 | 1.0.2までのCoru LFMember WordPressプラグインは、新しいゲームを追加する際にCSRFチェックを行っておらず、サニタイズやエスケープが設定に欠けているため、攻撃者はログインした管理者にXSSペイロードを持つ任意のゲームを追加させることができる。 | 6.1 |
CVE 2024-04-25 09:00:04.166494 |
CVE-2022-1617 | 4.3.1までのWP-Invoice WordPressプラグインは、設定を更新する際にCSRFチェックが行われておらず、サニタイズとエスケープが欠けているため、攻撃者はログインした管理者に設定を変更させ、XSSペイロードを追加することができます。 | 6.1 |
CVE 2024-04-25 09:00:04.165933 |
CVE-2022-1609 | 9.9.7 以前の School Management WordPress プラグインには、REST API ハンドラを登録するライセンスチェックコードに難読化されたバックドアが含まれており、認証されていない攻撃者がサイト上で任意の PHP コードを実行できるようになっています。 | 9.8 |
CVE 2024-04-25 09:00:04.165325 |
CVE-2022-1563 | 0.12.4 より前の WPGraphQL WooCommerce WordPress プラグインは、認証されていない攻撃者が GraphQL 経由でショップのクーポンコードと値を列挙することを防止しません。 | 5.3 |
CVE 2024-04-25 09:00:04.164728 |
CVE-2022-1538 | 1.1.1以前のTheme Demo Import WordPressプラグインは、インポートされたファイルを検証しないため、FILE_MODSおよびFILE_EDITが許可されていない場合でも、管理者などの高特権ユーザーが任意のファイル(PHPなど)をアップロードすることができます。 | 7.2 |
CVE 2024-04-25 09:00:04.164094 |
CVE-2022-0775 | 6.2.1以前のWooCommerce WordPressプラグインでは、レビュー削除時に適切な権限チェックが行われないため、購読者などの認証済みユーザーであれば任意のコメントを削除できる可能性があります。 | 4.3 |
CVE 2024-04-25 09:00:04.163422 |
CVE-2022-0402 | Super Forms - Drag & Drop Form Builder WordPress プラグイン 6.0.4 以前のバージョンでは、super_language_switcher AJAX アクションで bob_czy_panstwa_sprawa_zostala_rozwiazana パラメータをエスケープしてから属性に戻していないため、リフレクトされたクロスサイトスクリプティングが発生します。また、このアクションはCSRFを欠いているため、どのユーザに対しても攻撃を実行しやすくなっています。 | 6.1 |
CVE 2024-04-25 09:00:04.162595 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.