見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-6623 | 4.4.3以前のEssential Blocks WordPressプラグインは、REST API経由でテンプレートをレンダリングする際に、認証されていない攻撃者がローカル変数を上書きすることを防止していません。 | 9.8 |
CVE 2024-04-24 03:00:05.115621 |
CVE-2023-6620 | 2.8.7以前のPOST SMTP Mailer WordPressプラグインは、SQL文で使用する前にいくつかのパラメータを適切にサニタイズおよびエスケープしていないため、adminなどの高権限ユーザーが悪用可能なSQLインジェクションにつながります。 | 7.2 |
CVE 2024-04-24 03:00:05.114858 |
CVE-2023-6163 | 2.1.10以前のWP Crowdfunding WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2024-04-24 03:00:05.114121 |
CVE-2023-6066 | WP Custom Widget area WordPressプラグイン1.2.5は、そのAJAXアクションコールバック関数のいずれかに適切にケイパビリティとnonceチェックを適用していないため、subscriber+権限を持つ攻撃者がサイト上でメニューを作成、削除、または変更できる可能性があります。 | 4.3 |
CVE 2024-04-24 03:00:05.113261 |
CVE-2023-6050 | 4.1.1以前のEstatik Real Estate Plugin WordPressプラグインは、様々なパラメータや生成されたURLを属性で出力する前にサニタイズやエスケープを行わないため、Reflected Cross-Site Scriptingが発生し、管理者などの高権限ユーザーに対して使用される可能性があります。 | 6.1 |
CVE 2024-04-24 03:00:05.112478 |
CVE-2023-6049 | 4.1.1以前のEstatik Real Estate Plugin WordPressプラグインは、そのクッキーの一部を介してユーザー入力を非シリアライズするため、適切なガジェットチェーンがブログに存在する場合、認証されていないユーザーがPHPオブジェクトインジェクションを実行できる可能性があります。 | 9.8 |
CVE 2024-04-24 03:00:05.111665 |
CVE-2023-6048 | 4.1.1以前のEstatik Real Estate Plugin WordPressプラグインは、購読者のようなサイトの権限が低いユーザーがサイトのオプションを1に設定することを防止していません。 | 6.5 |
CVE 2024-04-24 03:00:05.110874 |
CVE-2023-6029 | 2.3.6より前のEazyDocs WordPressプラグインは、ドキュメントを扱う際に認証チェックとCSRFチェックを行っておらず、プラグインからのドキュメントであることを保証していないため、認証されていないユーザーが任意の投稿を削除したり、ドキュメント/セクションを追加/削除したりすることが可能です。 | 7.5 |
CVE 2024-04-24 03:00:05.110097 |
CVE-2023-5905 | 20220825を通してDeMomentSomTres WordPress Export Posts With Images WordPressプラグインは、ブログデータをエクスポートするリクエストの認可をチェックしないため、購読者などログインしているユーザーであれば誰でも、制限された記事や未公開の記事、保護された記事のパスワードを含むブログの内容をエクスポートすることができます。 | 8.1 |
CVE 2024-04-24 03:00:05.109265 |
CVE-2023-4925 | 6.8.10までのEasy Forms for Mailchimp WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-04-24 03:00:05.106672 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.