WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-7149 WordPress 用の Event Manager, Events Calendar, Tickets, Registrations - Eventin プラグインは、4.0.8 までのすべてのバージョンにおいて、複数のスタイルパラメータを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これは、コントリビューターレベル以上のアクセス権を持つ、認証された攻撃者が、サーバー上の任意のファイルをインクルードして実行することを可能にし、それらのファイル内の任意の PHP コードの実行を可能にします。これは、アクセス制御を回避したり、機密データを取得したり、 画像や他の「安全な」ファイルタイプをアップロードしてインクルードする場合に コード実行を行うために使用することができます。 8.8 CVE
2025-01-05 09:00:12.390736
CVE-2024-6931 WordPress 用 The Events Calendar プラグインは、6.6.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、RSVP 名フィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 7.2 CVE
2025-01-05 09:00:12.388265
CVE-2024-9049 Beaver Builder - WordPress Page Builder プラグインは、2.8.3.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Button Group モジュールを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-05 03:00:06.157654
CVE-2024-8991 WordPress 用 OSM - OpenStreetMap プラグインは、6.1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの osm_map および osm_map_v3 ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 6.4 CVE
2025-01-05 03:00:06.156880
CVE-2024-8681 WordPress 用 Elementor プラグイン Premium Addons には、4.10.52 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Media Grid ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-05 03:00:06.156158
CVE-2024-9130 GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、3.16.1 までのすべてのバージョンにおいて、'order' パラメータを経由した時間ベースの SQL インジェクションの脆弱性があります。 これにより、GiveWP Manager レベル以上のアクセス権を持つ認証済みの攻撃者が、レガシー・ビュー・モード内の既存のクエリに追加の SQL クエリを追加することが可能となり、データベースから機密情報を抽出するために使用することができます。 7.2 CVE
2025-01-05 03:00:06.155476
CVE-2024-8965 WordPress 用 Absolute Reviews プラグインは、1.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、カスタム投稿基準の 'Name' フィールドを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-05 03:00:06.154777
CVE-2024-8922 WordPress 用 WooCommerce 商品カタログプラグイン Product Enquiry for WooCommerce には、2.2.33.32 までのすべてのバージョンにおいて、 enquiry_detail.php の信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトをインジェクションすることが可能です。脆弱なソフトウェアには既知の POP チェーンは存在しません。対象のシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、 機密データを取得したり、コードを実行したりできる可能性があります。 8.8 CVE
2025-01-05 03:00:06.154029
CVE-2024-7714 AI ChatBot with ChatGPT and Content Generator by AYS WordPress plugin before 2.1.0には十分なアクセス制御がないため、認証されていないユーザーがAI ChatBot with ChatGPT and Content Generator by AYS WordPress plugin before 2.1.0をOpenAIから切断し、AI ChatBot with ChatGPT and Content Generator by AYS WordPress plugin before 2.1.0を無効化することができます。ays_chatgpt_disconnect', 'ays_chatgpt_connect', 'ays_chatgpt_save_feedback' という複数のアクションにアクセスできます。 7.5 CVE
2025-01-05 03:00:06.152958
CVE-2024-7713 2.1.0以前のWordPressプラグイン「AI ChatBot with ChatGPT and Content Generator by AYS」では、Open AI API Keyが公開されており、認証されていないユーザーでも取得できるようになっています。 7.5 CVE
2025-01-05 03:00:06.150159
CVE-2024-8771 Email Subscribers by Icegram Express - Email Marketing, Newsletters, Automation for WordPress & WooCommerce plugin for WordPress には、5.7.34 までのすべてのバージョンにおいて、'preview_email_template_design' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、非公開、パスワードで保護された、保留中の、下書きの投稿やページの内容を含む機密データを抽出することが可能になります。 4.3 CVE
2025-01-04 09:00:11.315022
CVE-2024-9177 WordPress 用 Themedy Toolbox プラグインは、1.0.14 までのすべてのバージョン、および 1.0.15 までのすべてのバージョンの themedy_col、themedy_social_link、themedy_alertbox、および themedy_pullleft ショートコードにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの themedy_button ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-04 09:00:11.314440
CVE-2024-8633 Form Maker by 10Web - Mobile-Friendly Drag & Drop Contact Form Builder plugin for WordPress は、1.15.27 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.5 CVE
2025-01-04 09:00:11.313820
CVE-2024-8725 WordPress 用の複数のプラグインおよび/またはテーマには、様々なバージョンにおいて、Limited File Upload の脆弱性があります。これは、低特権ロールが .css と .js ファイルを任意のディレクトリにアップロードできないようにするための適切なチェックが欠けているためです。このため、サブスクライバーレベル以上のアクセス権を持ち、管理者からパーミッションを与えられた認証済みの攻撃者が、WordPress のルートディレクトリ内の任意のディレクトリに .css と .js ファイルをアップロードすることが可能になり、蓄積型クロスサイトスクリプティングにつながる可能性があります。この脆弱性を悪用するには、Advanced File Manager Shortcodes プラグインをインストールする必要があります。 6.8 CVE
2025-01-04 09:00:11.313111
CVE-2024-8704 WordPress 用の Advanced File Manager プラグインは、5.2.8 までのすべてのバージョンにおいて、'fma_locale' パラメータを経由した Local JavaScript File Inclusion の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行を許してしまいます。これにより、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードした場合に コード実行を行ったりすることが可能となります。 7.2 CVE
2025-01-04 09:00:11.312467
CVE-2024-8126 WordPress 用 Advanced File Manager プラグインは、5.2.8 までのすべてのバージョンにおいて、'class_fma_connector.php' ファイルを経由した任意のファイルアップロードに対して脆弱です。これにより、Subscriber レベル以上のアクセス権を持ち、管理者からパーミッションを与えられた、認証された攻撃者が、新しい .htaccess ファイルをアップロードすることが可能となり、その後、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることで、リモートでコードを実行される可能性があります。 7.5 CVE
2025-01-04 09:00:11.311839
CVE-2024-9173 WordPress 用プラグイン GF Custom Style には、2.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-04 09:00:11.311230
CVE-2024-9127 WordPress 用 Super Testimonials プラグインは、3.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'alignment' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-04 09:00:11.310624
CVE-2024-9125 WordPress 用の king_IE プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-04 09:00:11.310026
CVE-2024-9117 WordPress 用 Mapplic Lite プラグインには、1.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-04 09:00:11.309345
CVE-2024-9115 WordPress の Common Tools for Site プラグインは、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-04 09:00:11.308684
CVE-2022-4541 WordPress 向けの WordPress Visitors プラグインは、1.0 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、なりすまされた HTTP ヘッダ値を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザが nm_vistior ページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 7.2 CVE
2025-01-04 09:00:11.308075
CVE-2024-9025 Sight - Professional Image Gallery and Portfolio plugin for WordPress は、1.1.2 までのすべてのバージョンにおいて、'handler_post_title' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、認証されていない攻撃者は、非公開、保留中、破棄済み、および下書きの投稿タイトルを公開することが可能です。悪用に成功するには、Elementorプラグインがインストールされ、有効化されている必要があります。 5.3 CVE
2025-01-04 09:00:11.307332
CVE-2024-8872 WordPress 用 WooCommerce プラグイン Store Hours には、4.3.20 までのすべてのバージョンで URL に適切なエスケープを施さずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-01-04 09:00:11.304750
CVE-2024-8861 WordPress 用 ProfileGrid - User Profiles, Groups and Communities プラグインは、5.9.3.2 までのすべてのバージョンにおいて、wp_kses_allowed_html 関数の不適切な使用による Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-04 03:00:04.981859
CVE-2024-6517 2.0.1 までの Contact Form 7 Math Captcha WordPress プラグインはパラメータを出力する前にサニタイズとエスケープを行っていません。 6.1 CVE
2025-01-04 03:00:04.981224
CVE-2024-7781 WordPress 用 Jupiter X Core プラグインには、4.7.5 までのすべてのバージョンにおいて、認証バイパスの脆弱性があります。これはソーシャルログインウィジェットを介した不適切な認証によるものです。これにより、認証されていない攻撃者が、管理者アカウントを含むソーシャルメディアアカウントでログインした最初のユーザーとしてログインすることが可能になります。攻撃者は、ソーシャルログイン要素が無効化されていても、それが以前に有効化され使用されている限り、この脆弱性を悪用することができます。この脆弱性はバージョン4.7.5で部分的に修正され、バージョン4.7.8で完全に修正されました。 8.1 CVE
2025-01-04 03:00:04.980555
CVE-2024-7772 WordPress 用 Jupiter X Core プラグインは、4.6.5 までのすべてのバージョンにおいて、'validate' 関数のファイルタイプ検証の誤処理により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 9.8 CVE
2025-01-04 03:00:04.980025
CVE-2024-8803 WordPress 用 Bulk NoIndex & NoFollow Toolkit プラグインは、2.15 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに remove_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-01-04 03:00:04.979379
CVE-2024-8723 WordPress 用プラグイン 012 Ps Multi Languages には、1.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、翻訳されたタイトルを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-04 03:00:04.978627
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.