WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-23913 | pankajpragma, rahulpragma WordPress Google Map Professional に SQL インジェクションの脆弱性が存在します。 | 8.5 |
CVE 2025-04-26 09:00:05.586029 |
| CVE-2025-23912 | Typomedia Foundation WordPress Custom SidebarにSQLコマンドで使用される特殊要素の不適切な中和(「SQLインジェクション」)の脆弱性があり、ブラインドSQLインジェクションが可能です。この問題は、n/aから2.3までのWordPress Custom Sidebarに影響します。 | 8.5 |
CVE 2025-04-26 09:00:05.585415 |
| CVE-2025-23842 | Nilesh Shiragave WordPress Gallery Plugin にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は、n/a から 1.4 までの WordPress Gallery Plugin に影響します。 | 7.1 |
CVE 2025-04-26 09:00:05.584903 |
| CVE-2025-23828 | OriginalTips.comのWordPress Data Guardには、Webページ生成時の入力の不適切な中和(「クロスサイトスクリプティング」)の脆弱性があり、Stored XSSが可能です。この問題は、WordPress Data Guardのn/aから8までに影響します。 | 7.1 |
CVE 2025-04-26 09:00:05.584371 |
| CVE-2025-23823 | この問題は、CNZZ&51LA for WordPress: n/a から 1.0.1 までのバージョンに影響します。 | 7.1 |
CVE 2025-04-26 09:00:05.583809 |
| CVE-2025-23510 | Zaantar WordPress Logging Service には、蓄積型 XSS を許すクロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。この問題は、n/a から 1.5.4 までの WordPress Logging Service に影響します。 | 7.1 |
CVE 2025-04-26 09:00:05.583282 |
| CVE-2025-23435 | この問題は、Password Protect Plugin for WordPress: n/a から 0.8.1.0 までのバージョンに影響します。 | 7.1 |
CVE 2025-04-26 09:00:05.582729 |
| CVE-2025-23423 | Smackcoders SendGrid for WordPress に認証欠落の脆弱性があり、不正に設定されたアクセス制御セキュリティレベルを悪用される可能性があります。この問題は SendGrid for WordPress の n/a から 1.4 に影響します。 | 4.3 |
CVE 2025-04-26 09:00:05.582082 |
| CVE-2024-13387 | WordPress 用 WP Responsive Tabs プラグインは、1.2.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wprtabs' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-26 09:00:05.581275 |
| CVE-2024-13355 | WooCommerceの注文後の管理者と顧客のメッセージ:WordPress 用 OrderConvo プラグインは、13.2 までのすべてのバージョンにおいて、upload_file() 関数のファイルタイプ検証が不十分なため、ファイルのアップロードが制限される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上にファイルをアップロードすることが可能となり、リモートでコードが実行される可能性があります。 | 5.4 |
CVE 2025-04-26 09:00:05.580550 |
| CVE-2024-12615 | WordPress 用 Passwords Manager プラグインは、1.4.8 までのすべてのバージョンにおいて、 ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、いくつかの AJAX アクションにおいて $wpdb->prefix 値を経由した SQL インジェクションの脆弱性があります。 これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-04-26 09:00:05.579768 |
| CVE-2024-12614 | WordPress 用 Passwords Manager プラグインは、1.4.8 までのすべてのバージョンにおいて、'pms_save_setting' および 'post_new_pass' AJAX アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者がプラグインの設定を更新し、パスワードを追加することが可能になります。 | 7.5 |
CVE 2025-04-26 09:00:05.579065 |
| CVE-2024-12613 | WordPress 用の Passwords Manager プラグインは、1.4.8 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、いくつかの AJAX 関数で $wpdb->prefix 値を経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-04-26 09:00:05.578307 |
| CVE-2024-12427 | WordPress 用 Multi Step Form プラグインは、1.7.23 までのすべてのバージョンにおいて、 fw_upload_file AJAX アクションの機能チェックが欠落しているため、 限定されたファイルを不正にアップロードされる脆弱性があります。これにより、認証されていない攻撃者が画像などの限られたファイルタイプをアップロードすることが可能になります。 | 5.3 |
CVE 2025-04-26 09:00:05.575385 |
| CVE-2024-11452 | WordPress 用の Chamber Dashboard Business Directory プラグインは、3.3.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'business_categories' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-26 03:00:06.521357 |
| CVE-2024-10789 | WordPress 用 WP User Profile Avatar プラグインは、1.0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは wpupa_user_admin() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するためにサイト管理者を騙ることができる偽造リクエストを使用して、機能へのアクセスを制御するプラグインの設定を更新することが可能になります。 | 4.3 |
CVE 2025-04-26 03:00:06.516324 |
| CVE-2025-0170 | DWT - Directory & Listing WordPress Theme は、3.3.3 までのバージョンにおいて、'sort_by' および 'token' パラメータの入力サニタイズおよび出力エスケープが不十分なため、Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、ページ内に任意のウェブスクリプトを注入して実行させることが可能です。 | 6.1 |
CVE 2025-04-25 23:00:06.768063 |
| CVE-2024-10970 | The Motors - Car Dealer, Classifieds & Listing plugin for WordPress は、1.4.43 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 5.4 |
CVE 2025-04-25 23:00:06.767203 |
| CVE-2025-0215 | UpdraftPlus: WP Backup & Migration Plugin plugin for WordPress は、1.24.12 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、showdata および initiate_restore パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が、管理者ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 | 6.1 |
CVE 2025-04-25 23:00:06.762215 |
| CVE-2024-12274 | Appointment Booking Calendar PluginとScheduling Pluginの1.1.23より前のWordPressプラグインは、エクスポート設定機能により、推測しやすいファイル名でデータを公開フォルダにエクスポートするため、認証されていない攻撃者がエクスポートされたファイル(存在する場合)にアクセスできてしまいます。 | 7.5 |
CVE 2025-04-25 09:00:10.015115 |
| CVE-2025-22762 | この問題は、WordPress HelpDesk & Support Ticket System Plugin - Octrace Support の n/a から 1.2.7 に存在する Stored XSS に影響します。 | 5.9 |
CVE 2025-04-25 09:00:06.054660 |
| CVE-2024-13215 | WordPress 用 Elementor Addon Elements プラグインは、1.13.10 までのすべてのバージョンにおいて、modules/modal-popup/widgets/modal-popup.php の 'render' 関数を経由して、機密情報暴露の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、機密のプライベートデータ、保留中のデータ、スケジュールされたデータ、およびドラフトテンプレートデータを抽出することが可能になります。 | 4.3 |
CVE 2025-04-25 09:00:06.053715 |
| CVE-2024-12593 | WordPress 用 PDF for WPForms + Drag and Drop Template Builder プラグインは、4.6.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが与えた属性の出力エスケープが不十分なため、プラグインの yeepdf_dotab ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-25 09:00:06.052767 |
| CVE-2024-11851 | WordPress 用 NitroPack プラグインは、1.17.0 までのすべてのバージョンにおいて、 nitropack_rml_notification 関数の機能チェックが欠落しているため、 無許可で任意のトランジェントを更新される脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、任意のトランジェントを更新することが可能です。これらのトランジェントが更新できるのは整数値のみであり、任意の値ではないことに注意してください。 | 4.3 |
CVE 2025-04-25 09:00:06.052117 |
| CVE-2024-11848 | WordPress 用 NitroPack プラグインは、1.17.0 までのすべてのバージョンにおいて、'nitropack_dismiss_notice_forever' AJAX アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者は、特定のオプションを有効にしたり (たとえば、ユーザ登録を有効にしたり)、サービス拒否状態につながる方法で特定のオプションを変更したりできる、任意のオプションを '1' の固定値に更新することが可能です。 | 8.1 |
CVE 2025-04-25 09:00:06.051458 |
| CVE-2024-9636 | WordPress 用の Post Grid and Gutenberg Blocks プラグインは、バージョン 2.2.85 から 2.3.3 において特権昇格の脆弱性があります。これは、プラグインがプロファイル登録時に更新可能なユーザメタを適切に制限していないことが原因です。これにより、認証されていない攻撃者が管理者としてサイトに登録することが可能になります。 | 9.8 |
CVE 2025-04-25 09:00:06.050476 |
| CVE-2024-13351 | WordPress 用の Social proof testimonials and reviews by Repuso プラグインは、5.20 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'rw_image_badge1' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-04-25 09:00:06.049428 |
| CVE-2024-12818 | WordPress 用 WP Smart TV プラグインは、2.1.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'tv-video-player' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-25 09:00:06.048694 |
| CVE-2024-12423 | WordPress 用 Contact Form 7 Redirect & Thank You Page プラグインは、1.0.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'post' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行させることが可能です。 | 6.1 |
CVE 2025-04-25 09:00:06.047902 |
| CVE-2024-12403 | WordPress 用 Image Gallery - Responsive Photo Gallery プラグインは、1.0.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'awsmgallery' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-25 09:00:06.047096 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.