WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-7374 | JobCareer テーマで使用されている WordPress 用 WP JobHunt プラグインは、7.6 までのすべてのバージョンにおいて、認証バイパスに対する脆弱性があります。これは非アクティブおよび保留中のアカウントに対するログイン制限が不十分であることが原因です。このため、CandidateレベルおよびEmployerレベル以上のアクセス権を持つ認証済みの攻撃者は、アカウントが非アクティブまたは保留中であってもサイトにログインすることが可能です。 | 5.4 |
CVE 2026-01-18 09:00:18.890584 |
| CVE-2025-10124 | 2.1.15以前のBooking Manager WordPressプラグインは、予約を削除するショートコードを登録し、投稿者以上の権限を持つ人がそのショートコードを利用できるようにしています。ショートコードを含むページが訪問されると、予約は削除されます。 | 4.5 |
CVE 2026-01-18 03:00:10.466043 |
| CVE-2025-6586 | WordPress 用 Download Plugin プラグインは、2.2.8 までのすべてのバージョンにおいて、dpwap_plugin_locInstall 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-01-17 23:00:18.298610 |
| CVE-2025-9371 | WordPress 用 Betheme テーマは、28.1.6 までのすべてのバージョンにおいて、テーマブレッドクラムの入力サニタイズと出力エスケープが不十分なため、'page_title' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビューター・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-17 09:00:07.855883 |
| CVE-2025-10249 | WordPress 用の Slider Revolution プラグインは、6.7.37 までのすべてのバージョンにおいて、いくつかの機能の機能チェックが欠落しているため、不正アクセスやデータの改ざんの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインのアドオンをインストール、有効化し、スライダーを作成し、任意のファイルをダウンロードすることが可能になります。 | 6.5 |
CVE 2026-01-17 09:00:07.854637 |
| CVE-2025-10862 | WordPress 用 Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers プラグインは、2.1.3 までのすべてのバージョンにおいて SQL インジェクションの脆弱性があります。これは、'id' パラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないことが原因です。これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-01-17 09:00:07.838931 |
| CVE-2025-5322 | WordPress 用レンタカー管理システム VikRentCar プラグインは、1.4.3 までのすべてのバージョンにおいて、do_updatecar および createcar 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-01-17 03:00:16.024998 |
| CVE-2025-11522 | WordPress 用テーマ Search & Go - Directory WordPress は、2.7 までのすべてのバージョンにおいて、アカウント乗っ取りによる認証バイパスの脆弱性があります。これは、search_and_go_elated_check_facebook_user() 関数のユーザーバリデーションが不十分なためです。これにより、Facebook ログインが有効になっている場合、認証されていない攻撃者が管理者を含む他のユーザーのアカウントにアクセスすることが可能になります。 | 9.8 |
CVE 2026-01-17 03:00:12.415630 |
| CVE-2025-7634 | WP Travel Engine - Tour Booking Plugin - Tour Operator Software plugin for WordPress は、6.6.7 までのすべてのバージョンにおいて、 mode パラメータを経由したローカルファイルインクルードの脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意の .php ファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行を許してしまいます。これは、.php ファイルがアップロードされたりインクルードされたりする場合に、 アクセス制御を回避したり、機密データを取得したり、コードを実行したりするために使用されます。 | 9.8 |
CVE 2026-01-17 03:00:12.414600 |
| CVE-2025-7526 | WP Travel Engine - Tour Booking Plugin - Tour Operator Software plugin for WordPress は、6.6.7 までのすべてのバージョンにおいて、set_user_profile_image 関数におけるファイルパスの検証が不十分なため、(リネームによって)任意のファイルを削除される脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 9.8 |
CVE 2026-01-17 03:00:12.413571 |
| CVE-2025-6038 | WordPress 用テーマプラグイン pebas® Lisfinity に使用されている Lisfinity Core - Lisfinity Core プラグインは、1.4.0 までのすべてのバージョンにおいて、パスワード更新による権限昇格の脆弱性があります。これは、パスワードを更新する前に、プラグインがユーザの身元を適切に検証しないことが原因です。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、管理者を含む任意のユーザのパスワードを変更することが可能になります。 | 8.8 |
CVE 2026-01-17 03:00:12.411276 |
| CVE-2025-5961 | Migration, Backup, Staging - WPvivid Backup & Migration plugin for WordPress は、0.9.116 までのすべてのバージョンにおいて、'wpvivid_upload_import_files' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。注意: アップロードされたファイルは、NGINX ウェブサーバー上で実行されている WordPress インスタンス上でのみアクセス可能です。これは、ターゲットファイルアップロードフォルダー内の既存の .htaccess が Apache サーバー上でのアクセスを妨げているためです。 | 7.2 |
CVE 2026-01-16 23:00:08.778207 |
| CVE-2025-11166 | WordPress 用 WP Go Maps (旧 WP Google Maps) プラグインは、9.0.46 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。これは、プラグインが適切な CSRF トークンの検証を行わず、AJAX ブリッジを通して状態を変更する REST アクションを公開し、permission_callback のない GET リクエストを通して破壊的なロジックに到達可能なためです。このため、認証されていない攻撃者が CSRF 攻撃によって、ログインしている管理者にマーカーやジオメトリ機能の作成、更新、削除をさせたり、匿名ユーザーが安全でない GET リクエストによってマーカーの大量削除を引き起こしたりすることが可能になります。 | 5.4 |
CVE 2026-01-16 23:00:07.133774 |
| CVE-2025-10586 | WordPress 用の Community Events プラグインは、1.5.1 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'event_venue' パラメータを介して SQL インジェクションを受ける脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能になります。 | 9.8 |
CVE 2026-01-16 23:00:07.132520 |
| CVE-2025-10496 | WordPress 用の Cookie Notice & Consent プラグインは、1.6.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、uuid パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-16 23:00:07.111074 |
| CVE-2025-10649 | WordPress 用 Welcart e-Commerce プラグインは、2.11.21 までのすべてのバージョンにおいて、ユーザが提供する値のエスケープが不十分であり、既存の SQL クエリに十分な準備がないため、クッキーを介した SQL インジェクションの脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 6.5 |
CVE 2026-01-16 09:00:05.902987 |
| CVE-2025-5817 | WordPress 用 Amazon Products to WooCommerce プラグインは、1.2.7 までのすべてのバージョンにおいて、 wcta2w_get_urls() を経由した Server-Side Request Forgery の脆弱性があります。これにより、認証されていない攻撃者がウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 7.2 |
CVE 2026-01-16 03:00:06.929948 |
| CVE-2025-11171 | Chartify - WordPress Chart Plugin for WordPress には、3.5.9 までのすべてのバージョンにおいて、Missing Authentication for Critical Function の脆弱性があります。これは、このプラグインが、nonce やケイパビリティチェックなしに、リクエストパラメータに基づいて admin クラスのメソッドにディスパッチする認証されていない AJAX アクションを登録するためです。このため、認証されていない攻撃者は、呼び出し可能なメソッド名を特定することで、wp-admin/admin-ajax.phpエンドポイント経由で管理者関数を実行することができます。 | 5.3 |
CVE 2026-01-16 03:00:06.722129 |
| CVE-2025-10635 | 2.0.9.1までのFind Me On WordPressプラグインは、SQLステートメントでパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、サブスクライバー以上のユーザーがSQLインジェクション攻撃を行うことができる。 | 7.7 |
CVE 2026-01-16 03:00:06.721324 |
| CVE-2025-11204 | WordPress 用の RegistrationMagic - Custom Registration Forms, User Registration, Payment, and User Login プラグインは、6.0.6.2 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、SQL インジェクションの脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。認証されていない攻撃者は、フォームの送信時にユーザーエージェントを介して注入されたクロスサイト・スクリプティングを利用し、これを利用してリフレクト・クロスサイト・スクリプティングを実現することができる。 | 7.2 |
CVE 2026-01-16 03:00:06.720337 |
| CVE-2025-10587 | WordPress 用 Community Events プラグインは、1.5.1 までのすべてのバージョンにおいて、event_category パラメータを経由した SQL インジェクションの脆弱性があります。 このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 9.8 |
CVE 2026-01-16 03:00:06.718807 |
| CVE-2025-10494 | WordPress 用プラグイン Motors - Car Dealership & Classified Listings プラグインは、1.4.89 までのすべてのバージョンにおいて、プロフィール画像を削除する際のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除された場合にリモートでコードが実行される可能性があります。 | 8.1 |
CVE 2026-01-16 03:00:06.715281 |
| CVE-2025-2940 | WordPress 用 Ninja Tables - Easy Data Table Builder プラグインは、5.0.18 までのすべてのバージョンにおいて、 args[url] パラメータを経由した Server-Side Request Forgery の脆弱性があります。これにより、認証されていない攻撃者がウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の問い合わせや変更に利用される可能性があります。 | 7.2 |
CVE 2026-01-15 23:00:04.768413 |
| CVE-2025-10645 | WordPress 用 WP Reset プラグインは、2.05 までのすべてのバージョンにおいて、デバッグが有効な場合 (デフォルト)、WF_Licensing::log() メソッドを経由して、機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が機密ライセンスキーとサイトデータを抽出することが可能になります。 | 5.3 |
CVE 2026-01-15 09:00:11.938195 |
| CVE-2025-2800 | WP Event Manager - Events Calendar, Registrations, Sell Tickets with WooCommerce plugin for WordPress は、3.1.50 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'organizer_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-15 03:00:11.198383 |
| CVE-2025-7400 | WordPress の Featured Image from URL (FIFU) プラグインは、5.2.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、投稿の Featured Image カスタムフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性はバージョン 5.2.2 で部分的に修正されました。 | 6.4 |
CVE 2026-01-15 03:00:10.971158 |
| CVE-2025-10162 | WooCommerceの注文後の管理者と顧客のメッセージ:OrderConvo WordPress プラグイン 14 より前のバージョンでは、ダウンロードされるファイルのパスが検証されないため、認証されていない攻撃者がパストラバーサル攻撃によって任意のファイルを読み込んだりダウンロードしたりできる可能性があります。 | 7.5 |
CVE 2026-01-15 03:00:10.968428 |
| CVE-2025-1123 | Solid Mail - SMTP email and logging made by SolidWP plugin for WordPress は、2.1.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、メール名、件名、本文を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-14 23:00:08.124199 |
| CVE-2025-4799 | WordPress 用 WP-DownloadManager プラグインは、1.68.10 までのすべてのバージョンにおいて、ファイルを削除できるディレクトリに制限がないため、任意のファイルを削除される脆弱性があります。このため、Administrator レベル以上のアクセス権を持つ認証済みの攻撃者は、サーバ上の任意のファイルを削除することが可能で、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。この脆弱性は CVE-2025-4798 と組み合わせることで、WordPress のルートディレクトリ内の任意のファイルを削除することができます。 | 7.2 |
CVE 2026-01-14 09:00:08.352684 |
| CVE-2025-9710 | 2.5.3以前のResponsive Lightbox & Gallery WordPressプラグインでは、HTMLタグ属性の変更が適切に処理されないため、認証されていない攻撃者が機能を悪用してイベントハンドラを含め、Stored XSS攻撃を行う可能性があります。 | 6.3 |
CVE 2026-01-14 03:00:05.044395 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.