WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-4845 | WordPress 用 Icegram Express プラグインは、5.7.22 までのすべてのバージョンにおいて、'options[list_id]' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能になります。 | 8.8 |
CVE 2024-09-20 09:00:18.204306 |
| CVE-2024-2092 | WordPress 用 Elementor Addon Elements プラグインには、1.13.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Twitter ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-09-20 09:00:18.203582 |
| CVE-2024-5468 | WordPress Header Builder Plugin - Pearl プラグインは、1.3.7 までのすべてのバージョンにおいて、 stm_hb_delete() 関数のバリデーションとケイパビリティチェックが欠落しているため、 不正にサイトオプションを削除される脆弱性があります。このため、認証されていない攻撃者が任意のオプションを削除することが可能となり、サイトに対するサービス拒否攻撃を実行するために使用される可能性があります。 | 6.5 |
CVE 2024-09-20 09:00:18.202651 |
| CVE-2024-5266 | WordPress 用 Download Manager Pro プラグインは、3.2.92 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分であるため、wpdm_user_dashboard、wpdm_package、wpdm_packages、wpdm_search_result、および wpdm_tag ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-09-20 09:00:18.200124 |
| CVE-2024-3925 | WordPress 用 Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) プラグイン Element Pack には、5.6.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Creative Button ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-20 03:00:05.284277 |
| CVE-2024-5892 | WordPress 用 Divi Torque Lite - Divi Theme and Extra Theme プラグインは、3.6.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'support_unfiltered_files_upload' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Authorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-20 03:00:05.283358 |
| CVE-2024-0427 | ARForms - Premium WordPress Form Builder Plugin WordPress プラグイン 6.4.1 より前のバージョンでは、AJAX アクションの一部に反映されるとき、ユーザー制御の入力が適切にエスケープされません。 | 6.3 |
CVE 2024-09-20 03:00:05.282266 |
| CVE-2024-3559 | WordPress 用 Custom Field Suite プラグインは、入力のサニタイズと出力のエスケープが不十分なため、2.6.7 までのバージョンを含む、'cfs[post_content]' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-20 03:00:05.281073 |
| CVE-2024-5553 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.33 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかのパラメータを経由した DOM ベースの蓄積型クロスサイトスクリプティングの脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入された要素にアクセスして編集し、その後マウスのスクロールホイールで要素をクリックするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 4.4 |
CVE 2024-09-20 03:00:05.279632 |
| CVE-2024-4564 | CoDesigner WooCommerce Builder for Elementor - Customize Checkout, Shop, Email, Products & More plugin for WordPress には、4.4.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Shop Slider、Tabs Classic、Image Comparison ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2024-09-20 03:00:05.276213 |
| CVE-2024-5543 | WordPress 用 Slideshow Gallery LITE プラグインは、1.8.1 までのすべてのバージョンにおいて、id パラメータ経由の時間ベースの SQL インジェクションに対して脆弱です。 このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能です。 | 8.1 |
CVE 2024-09-19 23:00:08.850739 |
| CVE-2024-4892 | WordPress 用 BuddyPress プラグインは、12.4.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'display_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 23:00:08.848226 |
| CVE-2024-5646 | WordPress 用 Futurio Extra プラグインは、2.0.5 までのすべてのバージョンにおいて、Advanced Text Block ウィジェット内の 'header_size' 属性を介して、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 09:00:18.807935 |
| CVE-2024-4669 | WordPress 用 Elementor プラグインの Events Addon には、2.1.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力サニタイズと出力エスケープが不十分なため、Basic Slider、Upcoming Events、Schedule ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2024-09-19 09:00:18.807181 |
| CVE-2024-34826 | この問題は Design for Contact Form 7 Style WordPress Plugin - CF7 WOW Styler: n/a から 1.6.4 までのバージョンに影響します。 | 6.3 |
CVE 2024-09-19 09:00:18.806536 |
| CVE-2024-5189 | Elementor 用 Essential Addons - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.23 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'custom_js' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 09:00:18.805823 |
| CVE-2023-52183 | WebToffee WordPress Backup & Migrationに認証漏れの脆弱性。この問題は、WordPress Backup & Migration: n/aから1.4.3までに影響します。 | 5.4 |
CVE 2024-09-19 09:00:18.805138 |
| CVE-2024-5584 | WordPress Online Booking and Scheduling Plugin - Bookly plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、23.2 までのすべてのバージョンにおいて、Color Profile パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、staff member ロールと Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能であり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 09:00:18.804312 |
| CVE-2024-5531 | WordPress 用 Ocean Extra プラグインは、2.2.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Flickr ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 09:00:18.801767 |
| CVE-2024-4266 | MetForm - Contact Form, Survey, Quiz, & Custom Form Builder for Elementor plugin for WordPress には、3.8.8 までのバージョンにおいて、'handle_file' 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ユーザによってアップロードされたファイルから、個人を特定できる情報のような機密データを抽出できる可能性があります。 | 5.3 |
CVE 2024-09-19 03:00:05.314230 |
| CVE-2024-3549 | Blog2Social:WordPress用プラグイン「Blog2Social: Social Media Auto Post & Scheduler」は、7.4.1までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存のSQLクエリの準備が不十分であるため、「b2sSortPostType」パラメータを経由したSQLインジェクションの脆弱性があります。 これにより、サブスクライバレベル以上のアクセス権を持つ、 認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、 既存のクエリに追加のSQLクエリを追加することが可能となります。 | 9.9 |
CVE 2024-09-19 03:00:05.313519 |
| CVE-2024-4319 | WordPress 用の Advanced Contact form 7 DB プラグインは、2.0.2 までのバージョンで 'vsz_cf7_export_to_excel' 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が、送信されたフォームの入力データをダウンロードすることが可能になります。 | 5.3 |
CVE 2024-09-19 03:00:05.312769 |
| CVE-2024-3723 | WordPress 用の Advanced Contact form 7 DB プラグインは、2.0.2 までのすべてのバージョンにおいて、 wp-content/uploads/advanced-cf7-upload ディレクトリを経由した機密情報漏洩の脆弱性があります。このため、認証されていない攻撃者が、このプラグイン経由でアップロードされた機密データをフォームから抜き取ることが可能です。 | 5.3 |
CVE 2024-09-19 03:00:05.312043 |
| CVE-2024-5530 | WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) は、2.9.0までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのWL: Product Horizontal Filterウィジェットを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 03:00:05.311132 |
| CVE-2023-7264 | WordPress 用 Build App Online プラグインは、1.0.21 までのすべてのバージョンにおいて、パスワードリセット機構が弱いため、アカウント乗っ取りの脆弱性があります。このため、認証されていない攻撃者は、4桁の数字のリセットコードを推測することで、任意のユーザーのパスワードをリセットすることが可能です。 | 8.1 |
CVE 2024-09-19 03:00:05.310411 |
| CVE-2024-5090 | WordPress 用 SiteOrigin Widgets Bundle プラグインは、1.61.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの SiteOrigin Blog Widget を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のWebスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2024-09-19 03:00:05.309592 |
| CVE-2024-2473 | WordPress 用 WPS Hide Login プラグインは、1.9.15.2 までのすべてのバージョンにおいて Login Page Disclosure の脆弱性があります。これは、'action=postpass' パラメータが提供されたときに作成されるバイパスによるものです。これにより、攻撃者はプラグインによって隠されたログインページを簡単に発見することができます。 | 5.3 |
CVE 2024-09-19 03:00:05.308649 |
| CVE-2024-0653 | WordPress 用 Custom Field Template プラグインは、2.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-09-19 03:00:05.307791 |
| CVE-2024-0627 | WordPress 用 Custom Field Template プラグインは、2.6.1 までのすべてのバージョンにおいて、ユーザが提供するカスタムフィールドの入力サニタイズと出力エスケープが不十分なため、プラグインのカスタムフィールド名カラムを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-19 03:00:05.307153 |
| CVE-2023-6748 | WordPress 用 Custom Field Template プラグインは、2.6.1 までのすべてのバージョンにおいて、'cft' ショートコード経由での機密情報漏洩の脆弱性があります。これにより、contributor アクセス権以上の認証された攻撃者が、任意の投稿メタデータを含む機密データを抽出することが可能になります。 | 4.3 |
CVE 2024-09-19 03:00:05.306321 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.