WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-8552 WordPress 用 Download Monitor プラグインは、5.0.9 までのすべてのバージョンにおいて enable_shop() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、ショップ機能を有効にすることが可能です。 4.3 CVE
2025-01-04 03:00:04.976016
CVE-2024-43237 この問題は、TaxoPress WordPress Tag Cloud Plugin - Tag Groups の n/a から 2.0.3 までのバージョンに影響します。 5.3 CVE
2025-01-03 09:00:12.253216
CVE-2024-8546 WordPress 用 Elementor アドオン プラグイン ElementsKit には、3.2.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Video ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 09:00:12.252575
CVE-2024-8858 WordPress 用 Elementor Addons by Livemesh プラグインは、8.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'piechart_settings' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 09:00:12.251844
CVE-2024-9169 WordPress 用 LiteSpeed Cache プラグインには、入力のサニタイズと出力のエスケープが不十分なため、6.4.1 までのすべてのバージョンにおいて、プラグインデバッグ設定を介した Stored Cross-Site Scripting の脆弱性がある。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 5.5 CVE
2025-01-03 09:00:12.249404
CVE-2024-8910 HT Mega - Absolute Addons For Elementor plugin for WordPress は、includes/widgets/htmega_accordion.php の render 関数を経由して、2.6.5 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、機密のプライベートデータ、保留中のデータ、およびドラフトテンプレートデータを抽出することが可能になります。 4.3 CVE
2025-01-03 03:00:07.775287
CVE-2024-8678 Revolut Gateway for WooCommerce plugin for WordPress は、4.17.3 までのすべてのバージョンにおいて、/wc/v3/revolut REST API エンドポイントの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が注文を完了としてマークすることが可能になります。 5.3 CVE
2025-01-03 03:00:07.774696
CVE-2024-8290 WCFM - Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress は、6.7.12 までのすべてのバージョンにおいて、WCFM_Customers_Manage_Controller::processing 関数を経由して、ID ユーザーが制御するキーのバリデーションが欠落しているため、Insecure Direct Object Reference の脆弱性があります。これにより、加入者/顧客レベル以上のアクセス権を持つ認証済みの攻撃者が、管理者ユーザーアカウントのメールアドレスを変更し、パスワードをリセットして管理者アカウントにアクセスできるようになります。 8.8 CVE
2025-01-03 03:00:07.773931
CVE-2024-3866 WordPress 用 Ninja Forms Contact Form プラグインは、3.8.15 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、'Referer' ヘッダを経由した Reflected Self-Based Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブ・スクリプトを注入して実行することが可能になります。この脆弱性の悪用を成功させるには、対象となるフォームの「メンテナンス・モード」を有効にする必要がある。しかし、攻撃者はもちろん、管理者レベルのユーザーでさえ、このモードを有効にするための設定はない。このモードが有効になるのは、必要なアップデートが行われている間だけであり、その時間は非常に短い。さらに、この脆弱性は自己ベースの性質を持っているため、攻撃者は、提供されたペイロードを標的ユーザーのコンテキストで実行するために、追加のテクニックに頼らなければならない。 4.7 CVE
2025-01-03 03:00:07.772962
CVE-2024-8658 myCred - Loyalty Points and Rewards plugin for WordPress and WooCommerce - Give Points, Ranks, Badges, Cashback, WooCommerce rewards, and WooCommerce credits for Gamification plugin for WordPress には、2.7.3 までのすべてのバージョンにおいて、mycred_update_database() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が古いデータベースをアップグレードすることが可能になります。 5.3 CVE
2025-01-03 03:00:07.772344
CVE-2024-7892 1.0.0 までの adstxt Plugin WordPress プラグインには、設定を更新する際に CSRF チェックが行われていないため、ログインした管理者が CSRF 攻撃によって設定を変更できる可能性があります。 4.3 CVE
2025-01-03 03:00:07.771724
CVE-2024-7878 4.7.4より前のWP ULike WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-01-03 03:00:07.771066
CVE-2024-6845 2.4.6以前のChatGPT WordPressプラグインを使用したチャットボットでは、RESTエンドポイントの1つで適切な認証が行われていないため、認証されていないユーザがエンコードされたキーを取得し、それをデコードすることで、OpenAI APIキーが漏れる可能性があります。 5.3 CVE
2025-01-03 03:00:07.770450
CVE-2024-8668 WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) には、入力のサニタイズと出力のエスケープが不十分なため、2.9.7までのすべてのバージョンにおいて、ツールチップとカウントダウン機能を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 03:00:07.769764
CVE-2024-8275 WordPress 用 The Events Calendar プラグインは、6.6.4 までのすべてのバージョンにおいて、ユーザが提供したパラメータに対するエスケープが不十分であり、既存の SQL クエリに対する十分な準備がないため、'tribe_has_next_event' 関数の 'order' パラメータ経由で SQL インジェクションを受ける脆弱性があります。 このため、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になってしまいます。手動で tribe_has_next_event() を追加したサイトのみが、この SQL インジェクションに対して脆弱です。 9.8 CVE
2025-01-03 03:00:07.769114
CVE-2024-8516 Themesflat Addons For Elementor plugin for WordPress は、2.2.1 までのすべてのバージョンにおいて、 render() 関数を介した情報漏洩の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、下書き投稿や将来のスケジュール投稿から限定的な投稿情報を抽出することが可能になります。 4.3 CVE
2025-01-03 03:00:07.768389
CVE-2024-8515 Themesflat Addons For Elementor plugin for WordPress には、URL 属性における入力のサニタイズと出力のエスケープが不十分なため、2.2.1 までのすべてのバージョンにおいて、'TF E Slider Widget', 'TF Video Widget', 'TF Team Widget' などのウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 03:00:07.767062
CVE-2024-8514 WordPress 用 Prisna GWT - Google Website Translator プラグインは、1.4.11 までのすべてのバージョンにおいて、 'prisna_import' パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱なソフトウェアには、既知の POP チェーンは存在しません。対象のシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 9.1 CVE
2025-01-03 03:00:07.760176
CVE-2024-7385 WordPress の Simple HTML Sitemap プラグインは、3.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、'id' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能です。 9.1 CVE
2025-01-03 03:00:07.758005
CVE-2024-9073 GutenGeek Free Gutenberg Blocks for WordPress プラグインは、1.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-03 03:00:07.757482
CVE-2024-9069 The Graphicsly - The ultimate graphics plugin for WordPress website builder ( Gutenberg, Elementor, Beaver Builder, WPBakery ) plugin for WordPress には、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-03 03:00:07.756878
CVE-2024-9068 OneElements - Best Elementor Addons plugin for WordPress は、1.3.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-03 03:00:07.756363
CVE-2024-9028 WordPress 用 WP GPX Maps プラグインは、1.7.08 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'sgpx' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 03:00:07.755842
CVE-2024-9027 WordPress 用 WPZOOM Shortcodes プラグインは、1.0.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'box' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 03:00:07.755304
CVE-2024-9024 WordPress 用 Material Design Icons プラグインは、0.0.5 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの mdi-icon ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-03 03:00:07.754675
CVE-2024-8741 WordPress 用 Beam me up Scotty - Back to Top Button プラグインは、1.0.21 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-01-03 03:00:07.754077
CVE-2024-8713 WordPress 用 Kodex Posts likes プラグインは、2.5.0 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 6.1 CVE
2025-01-03 03:00:07.753482
CVE-2024-8621 WordPress 用 Daily Prayer Time プラグインは、2024.08.26 までのすべてのバージョンにおいて、'quran_verse' ショートコードの 'max_word' 属性を経由した SQL インジェクションの脆弱性があります。 これは、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者が、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することを可能にします。 9.9 CVE
2025-01-03 03:00:07.752848
CVE-2024-8549 WordPress 用プラグイン Simple Calendar - Google Calendar プラグインは、3.4.2 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-01-03 03:00:07.752306
CVE-2024-8485 WordPress 用の REST API TO MiniProgram プラグインは、updateUserInfo() を経由して、4.7.1 までのすべてのバージョンにおいて、更新されるユーザーを決定する 'openid' ユーザー制御キーのバリデーションが欠落しているため、アカウント takeovr を経由した特権昇格の脆弱性があります。これにより、認証されていない攻撃者は、任意のユーザのアカウントを更新することが可能となり、そのユーザの電子メールを @weixin.com の電子メールに変更することができます。 9.8 CVE
2025-01-03 03:00:07.751731
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.