WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-11867 | WordPress 用の Companion Portfolio - Responsive Portfolio Plugin プラグインは、2.4.0.1 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'companion-portfolio' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.836743 |
| CVE-2024-11865 | WordPress 用 Tabs Maker プラグインは、1.0 までのバージョンにおいて、タブ記述の入力サニタイズと出力エスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.836144 |
| CVE-2024-11855 | WordPress 用 Koalendar - Events & Appointments Booking Calendar プラグインは、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'height' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.835473 |
| CVE-2024-11770 | WordPress 用の Post Carousel & Slider プラグインは、1.0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'post-cs' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.834726 |
| CVE-2024-11763 | WordPress 用 Plezi プラグインは、1.0.6 までのすべてのバージョンにおいて、入力のサニタイズとユーザーから提供された属性の出力エスケープが不十分なため、プラグインの 'plezi' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.833868 |
| CVE-2024-11759 | WordPress 用 Bukza プラグインは、2.0.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'bukza' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.832701 |
| CVE-2024-11755 | WordPress 用 IMS Countdown プラグインは、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Countdown の投稿設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.831763 |
| CVE-2024-11751 | WordPress 用の TCBD Popover プラグインは、1.2 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'tcbd-popover-image' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-24 03:00:06.830779 |
| CVE-2024-11462 | WordPress 用 Filestack 公式プラグインは、2.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'fstab' および 'filestack_options' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行させることが可能になります。 | 6.1 |
CVE 2025-03-24 03:00:06.829838 |
| CVE-2024-11095 | WordPress 用 Visualmodo Elements プラグインは、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、REST API の SVG ファイルアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-03-24 03:00:06.823173 |
| CVE-2024-54326 | Eyal Fitoussi GEO my WordPress に認可の欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用されます。この問題は、n/a から 4.5.0.4 までの GEO my WordPress に影響します。 | 6.5 |
CVE 2025-03-23 09:00:04.746980 |
| CVE-2024-54321 | この問題は、Hive Support - WordPress Help Desk: n/a から 1.1.2 までのバージョンに影響します。 | 4.3 |
CVE 2025-03-23 09:00:04.746355 |
| CVE-2024-54304 | この問題は、Hive Support - WordPress Help Desk の n/a から 1.1.2 までのバージョンに影響します。 | 8.5 |
CVE 2025-03-23 09:00:04.745730 |
| CVE-2024-54274 | この問題は、WordPress HelpDesk & Support Ticket System Plugin - Octrace Support の n/a から 1.2.7 までのバージョンに影響します。 | 7.1 |
CVE 2025-03-23 09:00:04.745108 |
| CVE-2024-54272 | RadiusTheme Radius Blocks - WordPress Gutenberg Blocks にウェブページ生成時の入力の不適切な中和(「クロスサイトスクリプティング」)の脆弱性があり、蓄積型 XSS が可能です。この問題は、Radius Blocks - WordPress Gutenberg Blocks: n/a から 2.1.2 に影響します。 | 6.5 |
CVE 2025-03-23 09:00:04.744519 |
| CVE-2024-54233 | この問題は、Advanced Control Manager for WordPress by ItalyStrap の n/a から 2.16.0 までのバージョンに影響します。 | 7.1 |
CVE 2025-03-23 09:00:04.743858 |
| CVE-2023-41951 | rtCampのrtMedia for WordPress、BuddyPress、bbPressに認証漏れの脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用されます。この問題は、rtMedia for WordPress、BuddyPress、bbPressのn/aから4.6.14までに影響します。 | 4.3 |
CVE 2025-03-23 09:00:04.743282 |
| CVE-2023-33928 | WebToffee WordPress Backup & Migrationに認可の欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用されます。この問題は、WordPress Backup & Migration: n/a から 1.4.0 に影響します。 | 4.3 |
CVE 2025-03-23 09:00:04.742674 |
| CVE-2022-47429 | 8Degree Themes Coming Soon Landing Page and Maintenance Mode WordPress Pluginに認可の欠落の脆弱性があり、埋め込まれた機密データの取得が可能です。この問題は、Coming Soon Landing Page and Maintenance Mode WordPress Plugin:n/aから2.2.0までに影響します。 | 5.3 |
CVE 2025-03-23 09:00:04.742128 |
| CVE-2024-9608 | WordPress 用 MyParcel プラグインは、4.24.1 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、ページ内に任意のウェブ・スクリプトを注入して実行させることができます。これは、WooCommerceストアがベルギーに設定されている場合にのみ悪用可能であることに注意してください。 | 6.1 |
CVE 2025-03-23 09:00:04.741532 |
| CVE-2024-11827 | ブロックの外WordPress 用 OpenStreetMap プラグインは、2.8.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの ootb_query ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-23 09:00:04.740872 |
| CVE-2024-9290 | WordPress 用プラグイン Super Backup & Clone - Migrate for WordPress は、2.3.3 までのすべてのバージョンにおいて、ファイルタイプ検証の欠落および ibk_restore_migrate_check() 関数の機能チェックの欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-03-23 09:00:04.740206 |
| CVE-2024-11012 | The Notibar - Notification Bar for WordPress plugin for WordPress には、2.1.4 までのすべてのバージョンにおいて、njt_nofi_text AJAX アクションを経由して任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 6.3 |
CVE 2025-03-23 09:00:04.739524 |
| CVE-2024-10783 | WordPress 用プラグイン MainWP Child - Securely Connects to the MainWP Dashboard to Manage Multiple Sites は、5.2 までのすべてのバージョンにおいて、サイトが未設定の状態のまま放置されている場合に register_site 関数での権限チェックが欠落しているため、権限昇格の脆弱性があります。これにより、MainWP Child がまだ MainWP Dashboard に接続されていないインスタンスで、認証されていない攻撃者が管理者としてログインできるようになります。重要:これは MainWP Child がインストールされ、まだ MainWP Dashboard に接続されておらず、固有のセキュリティ ID 機能が有効になっていないサイトにのみ影響します。すでに MainWP Dashboard プラグインに接続しており、固有のセキュリティ ID 機能を有効にしていないサイトは影響を受けず、アップグレードする必要はありません。5.2.1には部分的なパッチが含まれていますが、私たちは5.3を完全なパッチと考えています。 | 8.1 |
CVE 2025-03-23 09:00:04.738813 |
| CVE-2024-12465 | WordPress 用の Property Hive Stamp Duty Calculator プラグインは、1.0.22 までのすべてのバージョンにおいて、ユーザが提供した属性の入力サニタイズと出力エスケープが不十分なため、プラグインの「stamp_duty_calculator_scotland」ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-23 09:00:04.738218 |
| CVE-2024-12421 | The Coupon Affiliates - Affiliate Plugin for WooCommerce plugin for WordPress には、5.16.7.1 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。また、この機能は Reflected Cross-Site Scripting にも脆弱です。クロスサイトスクリプティングはバージョン 5.16.7.1 で修正され、任意のショートコードの実行は 5.16.7.2 で修正されました。 | 6.5 |
CVE 2025-03-23 09:00:04.737593 |
| CVE-2024-12420 | WPMobile.App - Android and iOS Mobile Application plugin for WordPress は、11.52 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションの実行をソフトウェアが許可していることが原因です。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 6.5 |
CVE 2025-03-23 09:00:04.736847 |
| CVE-2024-12417 | WordPress 用 The Simple Link Directory プラグインは、8.4.0 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 6.5 |
CVE 2025-03-23 09:00:04.736159 |
| CVE-2024-12414 | WordPress 用 Themify Store Locator プラグインは、1.1.9 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、setting_page() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストを経由してプラグインの設定を変更することが可能になります。 | 4.3 |
CVE 2025-03-23 09:00:04.735481 |
| CVE-2024-12309 | WordPress の FeedbackWP プラグインによる Rate My Post - Star Rating Plugin には、4.2.4 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、get_post_status() を経由した Insecure Direct Object Reference の脆弱性があります。これにより、認証されていない攻撃者が未公開のスケジュール投稿に投票することが可能になってしまいます。 | 5.3 |
CVE 2025-03-23 09:00:04.734871 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.