見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2022-1604 | 1.5.4 以前の MailerLite WordPress プラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-16 09:00:07.745662 |
CVE-2022-2173 | Advanced Database Cleaner WordPress プラグイン 3.1.1 以前では、管理者ダッシュボードページの href 属性に出力する前に多数の生成 URL をエスケープしないため、反射型クロスサイトスクリプティングが発生する。 | 6.1 |
CVE 2023-12-16 03:00:06.531925 |
CVE-2021-24349 | この Gallery from files WordPress プラグイン 1.6.0 を使用すると、画像をサーバーにアップロードする機能が提供されます。しかし、ファイル名が無効な拡張子を持つ場合、エラーメッセージに出力される前に適切にサニタイズされないため、クロスサイトスクリプティングの問題が反映されることになります。CSRF チェックがないため、このようなベクトルによる攻撃も可能です。 | 6.1 |
CVE 2023-12-15 23:00:06.314815 |
CVE-2022-29408 | Vsourz Digital の Advanced Contact form 7 DB プラグイン <= 1.8.7 at WordPress に持続的なクロスサイトスクリプティング (XSS) の脆弱性が存在します。 | 6.1 |
CVE 2023-12-15 09:00:09.067536 |
CVE-2018-11105 | WordPress 8.0.08 以前の wp-live-chat-support プラグインには、悪意のある攻撃者が管理者との新しいチャットを開始するたびに、wp-json/wp_live_chat_support/v1/start_chat の "name" (aka wplc_name) と "email" (aka wplc_email) 入力フィールドを介して保存されたクロスサイトスクリプティングがあります。注意:この問題は、CVE-2018-9864の修正が不完全であるために存在します。 | 6.1 |
CVE 2023-12-15 03:00:09.909284 |
CVE-2022-0346 | 2.0.4 以前の XML Sitemap Generator for Google WordPress プラグインは、任意の値を設定できるパラメータを検証しないため、allow_url_include がオンになっているとエラーメッセージ経由の XSS や RCE を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-14 23:00:06.171985 |
CVE-2022-1547 | 1.0.6 以前の WordPress プラグイン Check & Log Email では、管理ページでパラメータを属性として出力する前にサニタイズおよびエスケープを行っていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-14 09:00:08.908672 |
CVE-2019-9909 | WordPress 2.3.1 以前の「Donation Plugin and Fundraising Platform」プラグインに wp-admin/edit.php の csv XSS があります。 | 6.1 |
CVE 2023-12-14 03:00:10.606793 |
CVE-2019-14364 | WordPress 用プラグイン "Email Subscribers & Newsletters" 4.1.6 に XSS の脆弱性があり、攻撃者は esfpx_name wp-admin/admin-ajax.php POST パラメータを使用して公開された購読フォームから不正な JavaScript コードを挿入することができます。 | 6.1 |
CVE 2023-12-13 23:00:06.911175 |
CVE-2020-28034 | WordPress 5.5.2 以前のバージョンでは、グローバル変数に関連した XSS が可能です。 | 6.1 |
CVE 2023-12-13 09:00:12.394076 |
CVE-2022-1904 | 3.2.1 以前の WordPress プラグイン Pricing Tables は、特定の設定が有効な場合に、すべてのユーザー(認証済みおよび未認証の両方)が利用できるページに出力する前にパラメータをサニタイズおよびエスケープせず、Reflected Cross-Site Scripting を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-13 03:00:12.185175 |
CVE-2022-0428 | 5.3.0 以前の Content Egg WordPress プラグインは、Autoblogging 管理画面の属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-12 23:00:05.037186 |
CVE-2022-0625 | 1.0.4 までの Admin Menu Editor WordPress プラグインは、管理ページに出力する前にパラメータをサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting を受ける可能性があります。 | 6.1 |
CVE 2023-12-12 09:00:20.243459 |
CVE-2022-1218 | WordPress プラグイン Domain Replace 1.3.8 では、管理画面の属性として出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-12 03:00:07.734794 |
CVE-2022-1221 | Gwyn's Imagemap Selector WordPress プラグイン 0.3.3 までは、一部のパラメータを属性で出力する前にサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting の可能性があります。 | 6.1 |
CVE 2023-12-11 23:00:04.488170 |
CVE-2022-1582 | 1.43 以前の WordPress プラグイン External Links in New Window / New Tab は、onclick イベントハンドラに連結される URL を適切にエスケープしないため、Stored Cross-Site Scripting 攻撃を受ける可能性がありました。 | 6.1 |
CVE 2023-12-11 09:00:14.170359 |
CVE-2022-1171 | 14.0 以前の Vertical scroll recent post WordPress プラグインは、パラメータを属性で出力する前にサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-11 03:00:07.575431 |
CVE-2019-16987 | v4.5.7までのFusionPBXでは、appcontact_import.phpでURLから来るquery_string変数がサニタイズされておらず、それがHTMLに反映されてXSSにつながるという問題点がありました。 | 6.1 |
CVE 2023-12-10 23:00:04.656560 |
CVE-2021-46782 | 1.9.5以前のPricing Table by Supsystic WordPressプラグインは、管理画面の属性に出力する前にタブパラメータをエスケープしないため、クロスサイトスクリプティングが反映されてしまいます。 | 6.1 |
CVE 2023-12-10 09:00:05.837610 |
CVE-2022-1528 | 1.5.9以前のVikBooking Hotel Booking Engine & PMS WordPressプラグインは、JavaScriptコンテキストに戻す前に現在のURLをエスケープしないため、Reflected Cross-Site Scriptingが発生する可能性があります。 | 6.1 |
CVE 2023-12-10 03:00:08.670807 |
CVE-2021-25111 | 1.5.2 以前の英語版 WordPress Admin プラグインは、ユーザーをリダイレクトする前に admin_custom_language_return_url を検証しないため、オープンリダイレクトの問題が発生することがあります。 | 6.1 |
CVE 2023-12-09 23:00:06.130248 |
CVE-2022-1527 | 2.2.1 以前の WP 2FA WordPress プラグインは、管理ページに出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-09 09:00:21.831950 |
CVE-2022-27231 | WP Statistics の 13.2.0 より前のバージョンには、プラットフォームパラメータを不適切に処理することによるクロスサイトスクリプティングの脆弱性が存在します。この脆弱性を利用することで、本製品を使用してウェブサイトにログインしているユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。 | 6.1 |
CVE 2023-12-09 03:00:13.897170 |
CVE-2021-46781 | 1.7.6 以前の Coming Soon by Supsystic WordPress プラグインは、管理画面の属性に出力する前にタブパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-08 23:00:04.950136 |
CVE-2022-1933 | 5.1.9 以前の CDI WordPress プラグインは、AJAX アクションのレスポンスに出力する前にパラメータをサニタイズおよびエスケープしません(未認証および認証ユーザーの両方が利用できます)。 | 6.1 |
CVE 2023-12-08 09:00:07.579535 |
CVE-2022-1250 | 1.4.0 以前の LifterLMS PayPal WordPress プラグインは、支払い確認ページで出力する前に一部のパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting 問題が発生する可能性があります。 | 6.1 |
CVE 2023-12-08 03:00:20.836552 |
CVE-2022-28290 | WordPress Country Selector Plugin Version 1.6.5 には、Reflective Cross-Site Scripting の脆弱性が存在します。HTTP リクエストの一部として指定されたペイロードを使用して、ユーザーが Country Selector ページにアクセスしようとすると、XSS ペイロードが実行されます。 | 6.1 |
CVE 2023-12-07 23:00:05.185579 |
CVE-2022-1597 | Discy および Himer のコンパニオンとして使用されている 5.4 以前の WPQA Builder WordPress プラグインは、パスワードのリセットフォームのパラメータをサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting 攻撃を受ける可能性があります。 | 6.1 |
CVE 2023-12-07 09:00:08.300799 |
CVE-2019-16969 | 4.5.7までのFusionPBXでは、appfifo_listのCounteractive.phpで、URLから来るサニタイズされていない "c "変数が使われており、それがHTMLに反映されてXSSにつながるという問題点がありました。 | 6.1 |
CVE 2023-12-07 03:00:08.286299 |
CVE-2022-1047 | Themify Post Type Builder Search Addon WordPress プラグイン 1.4.0 以前のバージョンでは、現在のページの URL を HTML 属性で再利用する前に適切にエスケープしないため、クロスサイトスクリプティングの脆弱性が反映されることになります。 | 6.1 |
CVE 2023-12-06 23:00:06.599488 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.