WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] (3772)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2022-1683 amtyThumb WordPress プラグイン 4.2.0 は、ショートコードで SQL 文を使用する前にパラメータをサニタイズおよびエスケープしないため、SQL インジェクションが発生し、AJAX アクションを介してショートコードを実行できるため、認証済みの任意のユーザー(元の勧告に記載されている Author+ だけではない)が悪用可能であることがあります。 8.8 CVE
2023-08-20 23:00:05.114806
CVE-2022-1239 8.8.15以前のHubSpot WordPressプラグインは、プロキシRESTエンドポイントに与えられたプロキシURLを検証しないため、edit_posts機能を持つユーザー(デフォルトではcontributor以上)がSSRF攻撃を行うことができる可能性があります。 8.8 CVE
2023-08-20 09:00:05.683904
CVE-2021-24957 6.1.6 以前の Advanced Page Visit Counter WordPress プラグインは、認証されたユーザが利用できる apvc_reset_count_art AJAX アクションの SQL 文で使用する前に artID パラメータをエスケープしないため、SQL インジェクションにつながる可能性があります。 8.8 CVE
2023-08-20 03:00:05.597141
CVE-2020-12675 WordPress 用 2.54.6 以前の mappress-google-maps-for-wordpress プラグインは、PHP テンプレートファイルの作成/検索/削除に関連する AJAX 関数の機能チェックを正しく実装しておらず、リモートコードの実行につながる可能性があります。注意: この問題は、CVE-2020-12077 に対する修正が不完全であるために存在します。 8.8 CVE
2023-08-19 23:00:05.093891
CVE-2022-29437 WordPress の Image Slider by NextCode プラグイン <= 1.1.2> に複数の Cross-Site Request Forgery (CSRF) 脆弱性が存在します。 8.8 CVE
2023-08-19 09:00:09.489675
CVE-2021-24307 All in One SEO - Best WordPress SEO Plugin - Easily Improve Your SEO Rankings before 4.1.0.2 は、「aioseo_tools_settings」権限を持つ認証済みユーザー(ほとんどの場合、admin)が、基盤となるホスト上で任意のコードを実行できるようにしています。ユーザーは、「ツール > インポート/エクスポート」セクションにあるバックアップ .ini ファイルをアップロードすることで、プラグインの設定を復元することができます。しかし、このプラグインは、.iniファイルの値をシリアライズしないようにします。さらに、このプラグインは、ガジェットチェーンを構築し、システムコマンドの実行をトリガーするために使用できるMonologライブラリを埋め込みます。 8.8 CVE
2023-08-19 03:00:06.847896
CVE-2019-5924 Smart Forms 2.6.15 およびそれ以前のバージョンには、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があり、リモートの攻撃者は、特別に細工したページを介して管理者の認証をハイジャックすることが可能です。 8.8 CVE
2023-08-18 23:00:07.254652
CVE-2021-23227 Alexander Fuchs PHP Everywhere プラグイン <= 2.0.2 バージョンに Cross-Site Request Forgery (CSRF) の脆弱性があります。 8.8 CVE
2023-08-18 09:00:07.076565
CVE-2022-29417 WordPress の ShortPixel Adaptive Images プラグイン <= 3.3.1> のプラグイン設定更新の脆弱性により、購読者以上の低いユーザーロールを持つ攻撃者がプラグイン設定を変更することが可能です。 4.3 CVE
2023-08-18 09:00:07.075694
CVE-2022-1103 4.2 までの Advanced Uploader WordPress プラグインでは、購読者のような任意の認証ユーザーが PHP などの任意のファイルをアップロードでき、RCE につながる可能性があります。 8.8 CVE
2023-08-18 03:00:07.705324
CVE-2020-12077 WordPress 用 2.53.9 以前の mappress-google-maps-for-wordpress プラグインは、nonces (またはケイパビリティチェック) を含む AJAX 関数を正しく実装していないため、リモートでコードを実行される可能性があります。 8.8 CVE
2023-08-17 23:00:06.084826
CVE-2021-24184 Tutor LMS - eLearning and online course solution WordPress plugin 1.7.7 以前のいくつかの AJAX エンドポイントが保護されておらず、受講者がコース情報を変更したり、他の多くのアクションの中で自分の権限を昇格したりすることが可能でした。 8.8 CVE
2023-08-17 09:00:08.165392
CVE-2022-0441 2.7.6以前のMasterStudy LMS WordPressプラグインでは、新規アカウント登録時に指定された一部のパラメータが検証されないため、認証されていないユーザーが管理者として登録できてしまいます。 9.8 CVE
2023-08-17 09:00:08.164367
CVE-2022-29419 WordPress の Don Crowther 氏の 3xSocializer プラグイン <= 0.98.22> に SQL インジェクション (SQLi) の脆弱性があり、購読者以上の低いロールを持つユーザがこの脆弱性を利用できる可能性があります。 8.8 CVE
2023-08-17 03:00:07.490526
CVE-2022-0442 1.2.3.1以前のUsersWP WordPressプラグインには、ユーザーアバターを更新する際のアクセスコントロールがありません。また、ユーザーアバターのファイル名が一意であることを確認していないため、ログインしているユーザーが他のユーザーのアバターを上書きしてしまう可能性があります。 4.3 CVE
2023-08-17 03:00:07.489680
CVE-2021-24356 2.0.4 以前の Simple 301 Redirects by BetterLinks WordPress プラグインにおいて、AJAX アクションの simple301redirects/admin/activate_plugin の能力チェックと nonce チェックが不十分なため、認証済みユーザが脆弱なサイトにインストールされた任意のプラグインを有効にできる可能性がありました。 8.8 CVE
2023-08-16 23:00:07.045932
CVE-2022-29451 WordPress の Rara One Click Demo Import プラグイン <= 1.2.9 に、任意のファイルをアップロードするための Cross-Site Request Forgery (CSRF) 脆弱性があり、ログインした管理者ユーザが危険なファイルを /wp-content/uploads/ ディレクトリにアップロードするよう仕向けられます。 8.8 CVE
2023-08-16 09:00:07.960379
CVE-2022-1611 1.1.4 以前の Bulk Page Creator WordPress プラグインは、ページ作成機能を nonce チェックで保護していないため、CSRF に対して脆弱性があります。 8.8 CVE
2023-08-16 03:00:06.979594
CVE-2022-29410 WordPress の Mufeng's Hermit ???プラグイン <= 3.1.6 に認証済み SQL インジェクション (SQLi) の脆弱性があり、Subscriber 以上のユーザーロールを持つ攻撃者が (&ids) を介して SQLi 攻撃を実行することが可能です。 8.8 CVE
2023-08-15 23:00:05.006691
CVE-2022-0439 5.3.2以前のWordPressプラグイン Email Subscribers & Newsletters は `ajax_fetch_report_list` アクションの `order` パラメータと `orderby` パラメータを正しくエスケープしていないため、Subscriber程度のロールを持つユーザーによるブラインドSQLインジェクション攻撃に対して脆弱です。さらに、このアクションには CSRF 対策が施されていないため、攻撃者はログインしているユーザを騙してリンクをクリックさせ、アクションを実行させることができます。 8.8 CVE
2023-08-15 09:00:07.433076
CVE-2022-29427 WordPress の Aftab Muni の Disable Right Click For WP プラグイン <= 1.1.6> には、クロスサイトリクエストフォージェリ(CSRF)の脆弱性があります。 8.8 CVE
2023-08-15 03:00:06.166071
CVE-2022-1182 Visual Slide Box Builder WordPress プラグイン 3.2.9 では、SQL 文で使用する前にさまざまなパラメータをサニタイズおよびエスケープせず、認証済みユーザー(購読者など)が利用できる AJAX アクションの一部で、SQL インジェクションが発生する可能性があります。 8.8 CVE
2023-08-14 23:00:07.034808
CVE-2022-0952 1.0.36 以前の Sitemap by click5 WordPress プラグインは、REST エンドポイント経由でオプションを更新する際に認証と CSRF チェックを行わず、更新するオプションがプラグインに属していることを保証していません。その結果、未認証の攻撃者が users_can_register や default_role などの任意のブログオプションを変更し、新しい管理者アカウントを作成してブログを乗っ取ることが可能になります。 8.8 CVE
2023-08-14 09:00:10.359685
CVE-2021-36886 Contact Form 7 Database Addon - CFDB7 WordPress プラグイン (バージョン <= 1.2.5.9) に Cross-Site Request Forgery (CSRF) 脆弱性が発見されました。 8.8 CVE
2023-08-14 03:00:04.910449
CVE-2021-24354 2.0.4 以前の WordPress プラグイン Simple 301 Redirects by BetterLinks の AJAX アクションにおいて、能力チェックと nonce チェックが不十分なため、認証済みユーザが脆弱なサイトに任意のプラグインをインストールできる可能性があります。 8.8 CVE
2023-08-13 23:00:06.176970
CVE-2021-24193 低権限ユーザーは、2.12 より前の Visitor Traffic Real Time Statistics WordPress プラグインの AJAX アクション 'cp_plugins_do_button_job_later_callback' を使用して、WordPress リポジトリから任意のプラグイン(特定のバージョンを含む)をインストールしたり、そのブログから任意のプラグインを有効にすることができ、攻撃者は脆弱なプラグインのインストールを支援し、RCE などのより重大な脆弱性を引き起こす可能性があります。 8.8 CVE
2023-08-13 09:00:06.254270
CVE-2016-10874 WordPress の 4.3.3 以前の wp-database-backup プラグインには CSRF があります。 8.8 CVE
2023-08-13 03:00:07.723687
CVE-2015-1784 2.0.77.3 以前の nextgen-galery wordpress プラグインには、攻撃者がウェブアプリケーション上でフルアクセスすることを可能にする 2 つの脆弱性があります。この脆弱性は、ユーザーがアップロードしたファイルをアプリケーションが検証する方法と、不要な HTTP リクエストを防ぐセキュリティ対策の欠如に起因しています。 8.8 CVE
2023-08-12 23:00:06.149560
CVE-2021-4225 4.24 以前の SP Project & Document Manager WordPress プラグインでは、購読者などの認証されたユーザーであれば誰でもファイルをアップロードすることができます。このプラグインは、ファイルの拡張子をチェックすることで、サーバー上で実行される可能性のあるPHPなどのファイルがアップロードされることを防ごうとしています。Windowsサーバーでは、このセキュリティチェックが不十分で、悪質な業者が脆弱なサイトにバックドアをアップロードできる可能性があることが発見されました。 8.8 CVE
2023-08-12 03:00:06.943285
CVE-2021-34619 WooCommerce Stock Manager WordPress プラグインは、/woocommerce-stock-manager/trunk/admin/views/import-export.php ファイルの nonce およびファイル検証の欠落により、2.5.7 までのバージョンにおいて、任意のファイルアップロードにつながる Cross-Site Request Forgery の脆弱性があります。 8.8 CVE
2023-08-11 23:00:05.859033
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] (3772)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.