見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-6295 | 1.51.0より前のSiteOrigin Widgets Bundle WordPressプラグインは、インクルード関数/sに渡されるパスを生成するために使用する前にユーザー入力を検証しないため、管理者ロールを持つユーザーがマルチサイトWordPressサイトのコンテキストでLFI攻撃を実行することができます。 | 7.2 |
CVE 2024-03-27 09:00:04.712833 |
CVE-2023-6289 | 2.3.6.15以前のSwift Performance Lite WordPressプラグインは、Cloudflare APIトークンなどの機密情報を含む可能性のあるプラグインの設定をユーザーがエクスポートすることを防止しません。 | 4.3 |
CVE 2024-03-27 09:00:04.712124 |
CVE-2023-6272 | 1.2以前のTheme My Login 2FA WordPressプラグインは、2FA認証の試行回数を制限していないため、攻撃者がすべての可能性を総当りする可能性があります。 | 9.8 |
CVE 2024-03-27 09:00:04.711423 |
CVE-2023-6222 | 3.4.2.1より前のQuttera Web Malware Scanner WordPressプラグインは、パスに使用されたユーザー入力を検証しないため、管理者ロールを持つユーザーにパストラバーサル攻撃を実行される可能性がある。 | 7.2 |
CVE 2024-03-27 09:00:04.710623 |
CVE-2023-6203 | 6.2.8.1以前のEvents Calendar WordPressプラグインは、細工されたリクエストを経由して、パスワードで保護された投稿の内容を認証されていないユーザーに開示します。 | 7.5 |
CVE 2024-03-27 09:00:04.709850 |
CVE-2023-6077 | 3.5.12以前のSlider WordPressプラグインは、AJAXアクションを介してアクセスされる投稿がスライドされ、そのような購読者のような任意の認証ユーザーが非公開、下書きやパスワードで保護されたようなコンテンツ任意の投稿にアクセスできるように、リクエストを行うユーザーが表示できることを保証しません。 | 6.5 |
CVE 2024-03-27 09:00:04.708976 |
CVE-2023-6065 | 3.4.2.1以前のQuttera Web Malware Scanner WordPressプラグインは、詳細なスキャンログへのアクセスを制限していないため、悪意のある行為者がローカルパスやサイトのコードの一部を発見することができる。 | 5.3 |
CVE 2024-03-27 09:00:04.707914 |
CVE-2023-5949 | 3.8.3以前のSmartCrawl WordPressプラグインは、パスワードで保護された投稿のコンテンツに権限のないユーザーがアクセスすることを防止しません。 | 7.5 |
CVE 2024-03-27 09:00:04.706983 |
CVE-2023-5886 | Export any WordPress data to XML/CSV WordPress plugin before 1.4.0, WP All Export Pro WordPress plugin before 1.8.6 は、リクエストライフサイクルの早い段階で nonce トークンを十分にチェックしていないため、ファイルをアップロードする能力を持つ攻撃者が、ログインしているユーザーに PHAR のデシリアライゼーションにつながる不要なアクションを実行させ、リモートコードの実行につながる可能性がある。 | 8.8 |
CVE 2024-03-27 09:00:04.706119 |
CVE-2023-5882 | Export any WordPress data to XML/CSV WordPress plugin before 1.4.0, WP All Export Pro WordPress plugin before 1.8.6 は、リクエストライフサイクルの早い段階で nonce トークンを十分にチェックしていないため、攻撃者はログインしたユーザーにリモートコード実行につながる不要なアクションを実行させることができます。 | 8.8 |
CVE 2024-03-27 09:00:04.705216 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.