WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] (4084)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2023-3706 1.0.0より前のActivityPub WordPressプラグインは、表示される投稿タイトルがプラグインに属するパブリックなものであることを保証していないため、購読者のような認証されたユーザーであれば、IDORベクトル経由で任意の投稿タイトル(下書きや非公開など)を取得することができます。 4.3 CVE
2024-01-24 09:00:11.281851
CVE-2023-3279 3.39以前のWordPress Gallery Pluginプラグインは、インクルード関数/秒に渡されるパスを生成するためにそれらを使用する前に、いくつかのブロック属性を検証しないため、管理者ユーザーがLFI攻撃を実行することができます。 4.9 CVE
2024-01-24 09:00:11.281099
CVE-2023-45831 Pixelative, Mohsin Rafique AMP WP - Google AMP For WordPress プラグイン <= 1.5.15 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-24 09:00:11.278354
CVE-2023-4827 1.8 より前の File Manager Pro WordPress プラグインは、`fs_connector` AJAX アクションの CSRF nonce を適切にチェックしていません。このため、攻撃者は GET リクエストを使用することで、高度な特権を持つユーザーに CSRF 攻撃による不要なファイルシステムのアクション (ウェブシェルのアップロードなど) を実行させることができます。 8.8 CVE
2024-01-24 09:00:11.277460
CVE-2015-10125 WordPressのWP Ultimate CSV Importer Plugin 3.7.2に問題とされる脆弱性が発見されました。これは未知の部分に影響します。この操作はクロスサイトリクエストフォージェリにつながります。リモートから攻撃を開始することが可能です。バージョン 3.7.3 にアップグレードすることで、この問題に対処できます。パッチの識別子は 13c30af721d3f989caac72dd0f56cf0dc40fad7e です。影響を受けるコンポーネントをアップグレードすることを推奨します。この脆弱性には、識別子 VDB-241317 が割り当てられています。 8.8 CVE
2024-01-23 03:00:04.061407
CVE-2023-1259 WordPress用Hotjarプラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.0.15までのバージョンにおいて、hotjar_site_idを経由した蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、管理者レベル以上の権限を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 5.5 CVE
2024-01-22 09:00:04.408701
CVE-2023-4995 WordPress 用 Embed Calendly プラグインは、3.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'calendly' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-21 09:00:04.434058
CVE-2023-39999 6.3から6.3.1まで、6.2から6.2.2まで、6.1から6.13まで、6.0から6.0.5まで、5.9から5.9.7まで、5.8から5.8.7まで、5.7から5.7.9まで、5.6から5.6.11まで、5.5から5.5.12まで、5.4から5.4.13まで、5.3から5.3.15まで、5.2から5.2.18まで、5.1から5.1.16まで、5.0から5.0.19まで、4.9から4.9.23まで、4.8から4.8.22まで、4.7から4.7.26、4.6から4.6.26まで、4.5から4.5.29まで、4.4から4.4.30まで、4.3から4.3.31まで、4.2から4.2.35まで、4.1から4.1.38まで。 4.3 CVE
2024-01-21 09:00:04.433151
CVE-2023-38000 Auth.Stored (contributor+) Cross-Site Scripting (XSS) の脆弱性 (WordPress core 6.3 から 6.3.1、6.2から 6.2.2、6.1から 6.1.3、6.0 から 6.0.5、5.9 から 5.9.7、および Gutenberg プラグイン <= 16.8.0 バージョン)。 5.4 CVE
2024-01-21 09:00:04.430496
CVE-2023-41131 Jonk @ Follow me Darling Sp*tify Play Button for WordPress プラグイン <= 2.10 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-20 09:00:05.333307
CVE-2023-5470 WordPress 用 Etsy Shop プラグインは、3.0.4 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'etsy-shop' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-20 03:00:04.069423
CVE-2023-5531 WordPress 用 Thumbnail Slider With Lightbox プラグインは、1.0 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは削除機能における nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用して画像のライトボックスを削除することが可能になります。 4.3 CVE
2024-01-20 03:00:04.066301
CVE-2023-41694 Realbig Team Realbig For WordPress プラグイン <= 1.0.3 バージョンに CSRF (Cross-Site Request Forgery) 脆弱性が存在します。 8.8 CVE
2024-01-18 03:00:04.696205
CVE-2023-5468 WordPress 用 Slick Contact Forms プラグインは、1.3.7 までのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 'dcscf-link' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-18 03:00:04.694862
CVE-2023-5467 WordPress 用プラグイン GEO my WordPress には、4.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-18 03:00:04.691810
CVE-2023-44233 FooPlugins Best WordPress Gallery Plugin - FooGallery プラグイン <= 2.2.44 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-14 09:00:04.708912
CVE-2023-4469 WordPress 用の Profile Extra Fields by BestWebSoft プラグインは、1.2.7 までのバージョンで prflxtrflds_export_file 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が、カスタムフィールドに入力されたデータを含む、潜在的にセンシティブなユーザーデータを公開する可能性があります。 5.3 CVE
2024-01-14 09:00:04.705882
CVE-2015-10126 WordPressのEasy2Map Photos Plugin 1.0.1に致命的な脆弱性が発見されました。この脆弱性は未知のコードに影響します。この操作はSQLインジェクションにつながります。攻撃はリモートから開始できます。バージョン1.1.0にアップグレードすることでこの問題に対処できます。パッチは 503d9ee2482d27c065f78d9546f076a406189908 として特定されています。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241318 は、この脆弱性に割り当てられた識別子です。 9.8 CVE
2024-01-14 03:00:06.083818
CVE-2023-37996 GTmetrix GTmetrix for WordPress プラグイン <= 0.4.7 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-13 23:00:04.485875
CVE-2023-37992 PressPage Entertainment Inc.のWordPressプラグインにクロスサイトリクエストフォージェリ(CSRF)の脆弱性。Smarty for WordPress プラグイン <= 3.1.35 バージョン。 8.8 CVE
2024-01-13 09:00:04.957968
CVE-2023-5357 WordPress 用 Instagram for WordPress プラグインは、2.1.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-11 23:00:04.955353
CVE-2023-5291 WordPress 用 Blog Filter プラグインは、1.5.3 までのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、'AWL-BlogFilter' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-11 23:00:04.954553
CVE-2023-3213 WordPress 用 WP Mail SMTP Pro プラグインは、3.8.0 までのバージョンにおいて、is_print_page 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者が潜在的にセンシティブなメール情報を開示する可能性があります。 5.3 CVE
2024-01-11 23:00:04.951947
CVE-2023-5334 WordPress 用 WP Responsive ヘッダー画像スライダープラグインは、3.2.1 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'sp_responsiveslider' ショートコードを介した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 5.4 CVE
2024-01-10 23:00:03.915663
CVE-2015-10124 WordPressの0.8までのMost Popular Posts Widget Pluginに脆弱性が見つかりました。この脆弱性はクリティカルに分類されています。影響を受けるのは、functions.php ファイルの add_views/show_views 関数です。この操作はSQLインジェクションにつながります。リモートからの攻撃が可能です。バージョン 0.9 にアップグレードすることで、この問題に対処できます。パッチは a99667d11ac8d320006909387b100e9a8b5c12e1 として識別されます。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241026 は、この脆弱性に割り当てられた識別子です。 9.8 CVE
2024-01-10 09:00:07.881828
CVE-2023-41731 I Thirteen Web Solution WordPress の公開投稿メール通知プラグイン <= 1.0.2.2 バージョンに、認証 (admin+) 保存型クロスサイトスクリプティング (XSS) の脆弱性。 4.8 CVE
2024-01-10 03:00:14.542849
CVE-2015-9297 WordPress 5.6以前のevents-managerプラグインにXSSがあります。 6.1 CVE
2023-12-18 09:00:06.710357
CVE-2022-29450 WordPress の Admin Management Xtended プラグイン <= 2.4.4 に複数のクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2023-12-18 09:00:06.709264
CVE-2022-1094 4.59.4 以前の amr users WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 4.8 CVE
2023-12-18 09:00:06.708589
CVE-2021-42362 WordPress Popular Posts WordPress プラグインには、~/src/Image.php ファイルで発見された不十分な入力ファイルタイプ検証により、任意のファイルをアップロードされる脆弱性があります。このため、5.3.2 までのバージョンでは、投稿者レベル以上のアクセス権を持つ攻撃者が、リモートでコードを実行するために使用できる悪意のあるファイルをアップロードすることが可能です。 8.8 CVE
2023-12-18 09:00:06.705710
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] (4084)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.