見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2022-3899 | 3.5.6.9以前の3dprint WordPressプラグインは、プラグインに含まれるTiny File Managerの修正版においてCSRF攻撃を防御しないため、攻撃者はログインした管理者を騙してフォームを送信させることで、ターゲットサーバー上の任意の数のファイルやディレクトリを削除する悪意のあるリクエストを作成することができます。 | 8.1 |
CVE 2024-04-25 09:00:04.173151 |
CVE-2022-3836 | 2.0.4より前のSeed Social WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2024-04-25 09:00:04.172525 |
CVE-2022-3829 | 4.7.0までのFont Awesome 4 Menus WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-04-25 09:00:04.171945 |
CVE-2022-3739 | 1.0までのWP Best Quiz WordPressプラグインは、いくつかのパラメータをサニタイズおよびエスケープしていないため、Author程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2024-04-25 09:00:04.171312 |
CVE-2022-3604 | 1.3.0 より前の Contact Form Entries WordPress プラグインは CSV ファイルに出力されたデータを検証しません。 | 7.8 |
CVE 2024-04-25 09:00:04.170505 |
CVE-2022-3194 | 3.6.4以前のDokan WordPressプラグインでは、ベンダーが製品レビューに任意のjavascriptを注入することが可能で、サイト管理者など他のユーザーに対して保存型XSS攻撃を実行できる可能性があります。 | 5.4 |
CVE 2024-04-25 09:00:04.169691 |
CVE-2022-2413 | 2.3.47以前のSlide Anything WordPressプラグインは、管理ページで出力する前にスライドタイトルを適切にサニタイズまたはエスケープしないため、unfiltered_html機能が無効になっている場合でも、Author以下のロールでログインしたユーザーがスライドタイトルにjavascriptペイロードを注入することができます。 | 5.4 |
CVE 2024-04-25 09:00:04.169025 |
CVE-2022-23180 | 1.7.4 より前の Contact Form & Lead Form Elementor Builder WordPress プラグインには認証チェックと nonce チェックがありません。 | 4.3 |
CVE 2024-04-25 09:00:04.168409 |
CVE-2022-23179 | 1.7.0 より前の Contact Form & Lead Form Elementor Builder WordPress プラグインでは、フォームフィールドを属性で出力する前にエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、高い権限のユーザーにクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 4.8 |
CVE 2024-04-25 09:00:04.167797 |
CVE-2022-1760 | 1.2.1までのCore Control WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、攻撃者がCSRF攻撃によってログインした管理者に設定を変更させる可能性がある。 | 4.3 |
CVE 2024-04-25 09:00:04.167085 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.