WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] (7243)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-13863 4.1以前のStylish Google Sheet Reader 4.0 WordPressプラグインでは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしていないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 7.1 CVE
2025-07-03 03:00:05.341567
CVE-2024-13618 0.1.0までのaoa-downloadable WordPressプラグインは、download.phpエンドポイントへのリクエストに対する認可と認証が欠落しており、認証されていない訪問者が任意のURLにリクエストできるようになっています。 7.2 CVE
2025-07-03 03:00:05.340567
CVE-2024-13617 0.1.0までのaoa-downloadable WordPressプラグインは、そのダウンロード関数のパラメータを検証しておらず、認証されていない攻撃者がサーバから任意のファイルをダウンロードすることを許している。 8.6 CVE
2025-07-03 03:00:05.339579
CVE-2024-13123 1.100.0より前のAFI WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-03 03:00:05.338628
CVE-2024-13122 1.100.0より前のAFI WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-03 03:00:05.337524
CVE-2024-13118 2.4.1以前のIP Based Login WordPressプラグインにはCSRFチェックがない箇所があり、攻撃者はCSRF攻撃によってログインしたユーザーにすべてのログを削除させることができる。 4.3 CVE
2025-07-03 03:00:05.336646
CVE-2024-12769 3.0.4より前のSimple Banner WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-03 03:00:05.335785
CVE-2024-12682 1.5.2以前のSmart Maintenance Mode WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.334518
CVE-2024-12109 1.5.9以前のWordPressプラグインProduct Labels For Woocommerce (Sale Badges)は、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 4.1 CVE
2025-07-03 03:00:05.333065
CVE-2024-11503 2.2.7以前のWordPressプラグインWP Tabsは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 6.1 CVE
2025-07-03 03:00:05.332129
CVE-2024-11273 2.6.0以前のPirateForms WordPressプラグインによるContact Form & SMTP Plugin for WordPressは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.330890
CVE-2024-11272 2.6.0以前のPirateForms WordPressプラグインによるContact Form & SMTP Plugin for WordPressは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.329621
CVE-2024-10703 2.13.4より前のRegistrations for Events Calendar WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 6.1 CVE
2025-07-03 03:00:05.328464
CVE-2024-10679 9.2.1より前のQuiz and Survey Master (QSM) WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.327134
CVE-2024-10638 1.5.11以前のWordPressプラグインProduct Labels For Woocommerce (Sale Badges)は、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 4.1 CVE
2025-07-03 03:00:05.326182
CVE-2024-10566 1.2.62より前のSlider by 10Web WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.325187
CVE-2024-10565 1.2.62より前のSlider by 10Web WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-07-03 03:00:05.323767
CVE-2024-10560 1.15.30 より前の Form Maker by 10Web WordPress プラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored クロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-03 03:00:05.322826
CVE-2024-10554 3.3.9.3より前のWordPress WP-Advanced-Searchプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-03 03:00:05.321220
CVE-2024-10472 7.1.12より前のStylish Price List WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.9 CVE
2025-07-03 03:00:05.319810
CVE-2024-10105 2.7.11より前のJob Postings WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.9 CVE
2025-07-03 03:00:05.315555
CVE-2025-1717 WordPress 用 Login Me Now プラグインは、1.7.2 までのバージョンにおいて認証バイパスの脆弱性があります。これは、'AutoLogin::listen()' 関数の任意の一時的な名前に基づく安全でない認証によるものです。このため、認証されていない攻撃者が、サイトの既存ユーザー(管理者であっても)にログインすることが可能になってしまいます。注意: この脆弱性は、他のソフトウェアからトランジェント名と値を使用する必要があるため、プラグイン単体では本質的に脆弱ではありません。 8.1 CVE
2025-07-02 23:00:09.333813
CVE-2025-30609 AppExperts における送信データへの機密情報の挿入の脆弱性 AppExperts - WordPress to Mobile App - WooCommerce to iOs and Android Apps では、埋め込まれた機密データの取得が可能です。この問題は AppExperts - WordPress to Mobile Apps - WooCommerce to iOs and Android Apps: n/a から 1.4.3 に影響します。 5.3 CVE
2025-07-02 09:00:07.897708
CVE-2025-30608 Anthony WordPress SQL Backup には、Cross-Site Request Forgery (CSRF) の脆弱性があり、Stored XSS が可能です。この問題は、n/a から 3.5.2 までの WordPress SQL Backup に影響します。 7.1 CVE
2025-07-02 09:00:07.896902
CVE-2025-30552 Donald Gilbert WordPress Admin Bar Improved に CSRF (Cross-Site Request Forgery) 脆弱性があり、Stored XSS が可能です。この問題は WordPress Admin Bar Improved: n/a から 3.3.5 に影響します。 7.1 CVE
2025-07-02 09:00:07.896045
CVE-2025-30526 WordPress用Lucksy Typekitプラグインにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在します。この問題は、n/a から 1.2.3 までの WordPress 用 Typekit プラグインに影響します。 4.3 CVE
2025-07-02 09:00:07.893602
CVE-2025-0952 WordPress 用テーマ Eco Nature - Environment & Ecology には、2.0.4 までのすべてのバージョンにおいて、'cmsmasters_hide_admin_notice' AJAX アクションの機能チェックが欠落しているため、不正なデータ変更によりサービス拒否につながる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイトのオプション値を「hide」に更新することが可能になります。これは、サイト上でエラーを発生させ、正当なユーザのサービスを拒否するようなオプションを更新したり、登録のようないくつかの値を真に設定するために使用することができます。 8.1 CVE
2025-07-02 03:00:25.309799
CVE-2025-1203 3.95.0より前のMetaSlider WordPressプラグインのSlider, Gallery, Carouselは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、エディタなどの高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 3.5 CVE
2025-07-02 03:00:25.165843
CVE-2025-1062 3.95.0より前のMetaSlider WordPressプラグインのSlider、Gallery、Carouselは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-07-02 03:00:25.164626
CVE-2024-13124 1.8.33より前のPhoto Gallery by 10Web WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 3.5 CVE
2025-07-02 03:00:25.163850
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] (7243)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.