WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2023-4862 1.8.1 より前の File Manager Pro WordPress プラグインは、一部の入力を適切に検証およびエスケープしないため、高特権ユーザーによる XSS につながります。 4.8 CVE
2024-01-24 09:00:11.298011
CVE-2023-4821 1.1.1以前のDrag and Drop Multiple File Upload for WooCommerce WordPressプラグインは、潜在的に危険なファイル拡張子をすべてフィルタリングしていません。そのため、攻撃者は悪意のあるスクリプトを含む安全でない .shtml または .svg ファイルをアップロードすることができます。 5.4 CVE
2024-01-24 09:00:11.296620
CVE-2023-4820 11.0.12以前のBlubrry WordPressプラグインによるPowerPress Podcastingプラグインは、投稿のメディアURLフィールドをサニタイズおよびエスケープしないため、contributor程度の権限のユーザーによって、サイト管理者やスーパー管理者を標的とする任意のウェブスクリプトを注入される可能性があります。 5.4 CVE
2024-01-24 09:00:11.295922
CVE-2023-4811 4.23.3以前のWordPress File Upload WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、投稿者などの高権限ユーザーがStored Cross-Site Scripting攻撃を行う可能性があります。 5.4 CVE
2024-01-24 09:00:11.294631
CVE-2023-4805 2.3.0より前のTutor LMS WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、購読者のようなユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 5.4 CVE
2024-01-24 09:00:11.293933
CVE-2023-4798 1.2.2より前のUser Avatar WordPressプラグインは、ショートコード属性の一部を適切にサニタイズおよびエスケープしていないため、投稿者のような比較的低い特権を持つユーザーがStored XSS攻撃を行う可能性があります。 5.4 CVE
2024-01-24 09:00:11.292606
CVE-2023-4795 1.1.9以前のTestimonial Slider Shortcode WordPressプラグインは、ページに出力する前にショートコード属性の一部を検証およびエスケープしていないため、contributor以下のロールを持つユーザーが、管理者などの高い権限を持つユーザーに対して使用可能な、保存されたクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2024-01-24 09:00:11.291943
CVE-2023-4783 2.1.1までのMagee Shortcodes WordPressプラグインは、ショートコードが埋め込まれているページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていません。 5.4 CVE
2024-01-24 09:00:11.291265
CVE-2023-4776 2.2.5以前のSchool Management System WordPressプラグインは、引用符で区切られていないフィールドでWordPressのesc_sql()関数を使用し、最初にクエリを準備しなかったため、Teachersのような比較的低い権限のユーザーによって悪用可能なSQLインジェクションにつながりました。 8.8 CVE
2024-01-24 09:00:11.290583
CVE-2023-4725 1.1.6より前のSimple Posts Ticker WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-01-24 09:00:11.289815
CVE-2023-4666 1.15.20 より前の Form Maker by 10Web WordPress プラグインは、サーバー上でユーザー入力から署名を作成する際に署名を検証しないため、認証されていないユーザーが任意のファイルを作成し、RCE につながる可能性がある。 9.8 CVE
2024-01-24 09:00:11.287697
CVE-2023-4646 1.1.6より前のSimple Posts Ticker WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていません。このため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 5.4 CVE
2024-01-24 09:00:11.286972
CVE-2023-4643 4.1.3以前のEnable Media Replace WordPressプラグインは、Remove Background機能によってユーザー入力をシリアライズしないため、適切なガジェットがブログに存在する場合、Author+ユーザーがPHPオブジェクトインジェクションを実行できる可能性がある。 8.8 CVE
2024-01-24 09:00:11.286152
CVE-2023-4388 2.2以前のEventON WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-01-24 09:00:11.285497
CVE-2023-4289 2.1.8より前のWP Matterport Shortcode WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 5.4 CVE
2024-01-24 09:00:11.284177
CVE-2023-3746 1.0.0より前のActivityPub WordPressプラグインは、投稿内容の一部のデータをサニタイズおよびエスケープしていないため、投稿者以上のロールがストアドクロスサイトスクリプティング攻撃を行う可能性があります。 5.4 CVE
2024-01-24 09:00:11.283466
CVE-2023-3707 1.0.0以前のActivityPub WordPressプラグインでは、表示される投稿内容がプラグインに属するパブリックなものであることが保証されていないため、購読者などの認証済みユーザーであればIDORベクトル経由で任意の投稿(下書きや非公開など)の内容を取得することができます。パスワードで保護された投稿はこの問題の影響を受けません。 4.3 CVE
2024-01-24 09:00:11.282760
CVE-2023-3706 1.0.0より前のActivityPub WordPressプラグインは、表示される投稿タイトルがプラグインに属するパブリックなものであることを保証していないため、購読者のような認証されたユーザーであれば、IDORベクトル経由で任意の投稿タイトル(下書きや非公開など)を取得することができます。 4.3 CVE
2024-01-24 09:00:11.281851
CVE-2023-3279 3.39以前のWordPress Gallery Pluginプラグインは、インクルード関数/秒に渡されるパスを生成するためにそれらを使用する前に、いくつかのブロック属性を検証しないため、管理者ユーザーがLFI攻撃を実行することができます。 4.9 CVE
2024-01-24 09:00:11.281099
CVE-2023-45831 Pixelative, Mohsin Rafique AMP WP - Google AMP For WordPress プラグイン <= 1.5.15 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-24 09:00:11.278354
CVE-2023-4827 1.8 より前の File Manager Pro WordPress プラグインは、`fs_connector` AJAX アクションの CSRF nonce を適切にチェックしていません。このため、攻撃者は GET リクエストを使用することで、高度な特権を持つユーザーに CSRF 攻撃による不要なファイルシステムのアクション (ウェブシェルのアップロードなど) を実行させることができます。 8.8 CVE
2024-01-24 09:00:11.277460
CVE-2015-10125 WordPressのWP Ultimate CSV Importer Plugin 3.7.2に問題とされる脆弱性が発見されました。これは未知の部分に影響します。この操作はクロスサイトリクエストフォージェリにつながります。リモートから攻撃を開始することが可能です。バージョン 3.7.3 にアップグレードすることで、この問題に対処できます。パッチの識別子は 13c30af721d3f989caac72dd0f56cf0dc40fad7e です。影響を受けるコンポーネントをアップグレードすることを推奨します。この脆弱性には、識別子 VDB-241317 が割り当てられています。 8.8 CVE
2024-01-23 03:00:04.061407
CVE-2023-1259 WordPress用Hotjarプラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.0.15までのバージョンにおいて、hotjar_site_idを経由した蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、管理者レベル以上の権限を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 5.5 CVE
2024-01-22 09:00:04.408701
CVE-2023-4995 WordPress 用 Embed Calendly プラグインは、3.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'calendly' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-21 09:00:04.434058
CVE-2023-39999 6.3から6.3.1まで、6.2から6.2.2まで、6.1から6.13まで、6.0から6.0.5まで、5.9から5.9.7まで、5.8から5.8.7まで、5.7から5.7.9まで、5.6から5.6.11まで、5.5から5.5.12まで、5.4から5.4.13まで、5.3から5.3.15まで、5.2から5.2.18まで、5.1から5.1.16まで、5.0から5.0.19まで、4.9から4.9.23まで、4.8から4.8.22まで、4.7から4.7.26、4.6から4.6.26まで、4.5から4.5.29まで、4.4から4.4.30まで、4.3から4.3.31まで、4.2から4.2.35まで、4.1から4.1.38まで。 4.3 CVE
2024-01-21 09:00:04.433151
CVE-2023-38000 Auth.Stored (contributor+) Cross-Site Scripting (XSS) の脆弱性 (WordPress core 6.3 から 6.3.1、6.2から 6.2.2、6.1から 6.1.3、6.0 から 6.0.5、5.9 から 5.9.7、および Gutenberg プラグイン <= 16.8.0 バージョン)。 5.4 CVE
2024-01-21 09:00:04.430496
CVE-2023-41131 Jonk @ Follow me Darling Sp*tify Play Button for WordPress プラグイン <= 2.10 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-20 09:00:05.333307
CVE-2023-5470 WordPress 用 Etsy Shop プラグインは、3.0.4 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'etsy-shop' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-20 03:00:04.069423
CVE-2023-5531 WordPress 用 Thumbnail Slider With Lightbox プラグインは、1.0 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは削除機能における nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用して画像のライトボックスを削除することが可能になります。 4.3 CVE
2024-01-20 03:00:04.066301
CVE-2023-41694 Realbig Team Realbig For WordPress プラグイン <= 1.0.3 バージョンに CSRF (Cross-Site Request Forgery) 脆弱性が存在します。 8.8 CVE
2024-01-18 03:00:04.696205
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.