WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-8484 WordPress 用 REST API TO MiniProgram プラグインは、4.7.1 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、/wp-json/watch-life-net/v1/comment/getcomments REST API エンドポイントの 'order' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 7.5 CVE
2025-01-03 03:00:07.751162
CVE-2024-8483 WordPress 用 MAS Static Content プラグインは、1.0.8 までのすべてのバージョンにおいて、 static_content() 関数を経由した情報漏洩の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、プライベートな静的コンテンツページから潜在的に機密性の高い情報を引き出すことが可能になります。 4.3 CVE
2025-01-03 03:00:07.750593
CVE-2024-8481 WordPress 用 The Special Text Boxes プラグインは、6.2.2 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、プラグインが add_filter('comment_text', 'do_shortcode'); というフィルタを追加し、コメント内のすべてのショートコードを実行するためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 7.3 CVE
2025-01-03 03:00:07.750007
CVE-2024-8476 WordPress 用 Easy PayPal Events プラグインは、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wpeevent_plugin_buttons()関数のnonceバリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができ、付与された偽造リクエストによって任意の投稿を削除することが可能です。 4.3 CVE
2025-01-03 03:00:07.749480
CVE-2024-8434 The Easy Mega Menu Plugin for WordPress - ThemeHunk plugin for WordPress は、1.0.9 までのすべてのバージョンにおいて、AJAX 経由でフックされるいくつかの機能の機能チェックが欠落しているため、不正アクセスに対する脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインの設定を更新するようなアクションを実行することが可能になります。 4.3 CVE
2025-01-03 03:00:07.748909
CVE-2024-8350 WordPress 用 Uncanny Groups for LearnDash プラグインは、6.1.0.1 までのすべてのバージョンにおいて、/wp-json/ulgm_management/v1/add_user/ REST API エンドポイントの機能チェックが欠落しているため、ユーザーグループ追加に脆弱性があります。これにより、グループリーダーレベル以上のアクセス権を持つ、認証された攻撃者がユーザーをグループに追加することが可能となり、最終的にCVE-2024-8349を利用して、サイトへの管理者アクセスを得ることができます。 2.7 CVE
2025-01-03 03:00:07.748335
CVE-2024-8349 WordPress 用 Uncanny Groups for LearnDash プラグインは、6.1.0.1 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これは、プラグインがグループリーダーが編集できるユーザーを適切に制限していないことが原因です。このため、グループリーダーレベル以上のアクセス権を持つ、認証された攻撃者が管理者アカウントのメールアドレスを変更することが可能となり、その結果、管理者アカウントへのアクセスが可能となります。 7.2 CVE
2025-01-03 03:00:07.747750
CVE-2024-7617 WordPress 用 Contact Form to Any API プラグインは、1.2.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Contact Form 7 のフォームフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 7.2 CVE
2025-01-03 03:00:07.747159
CVE-2024-7491 HUSKY - Products Filter Professional for WooCommerce plugin for WordPress は、1.3.6.1 までのすべてのバージョンにおいて、ユーザー制御キー 'key' のバリデーションが欠落しているため、woof_messenger_remove_subscr AJAX アクションを経由して、安全でない直接オブジェクト参照の脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、通知を受け取るためにサインアップしたユーザのキー値を取得するか、総当たりで取得することに成功した場合、製品通知のサインアップからユーザを退会させることが可能です。この脆弱性は、プラグインのProducts Messengerエクステンションが有効になっている必要があります。 5.3 CVE
2025-01-03 03:00:07.746458
CVE-2024-7426 WordPress 用の Community by PeepSo - Social Network, Membership, Registration, User Profiles プラグインは、6.4.6.0 までのすべてのバージョンにおいて、Full Path Disclosure の脆弱性があります。これは、プラグインがエラーを表示し、sse.php ファイルへの直接アクセスを許可していることが原因です。これにより、認証されていない攻撃者がウェブアプリケーションのフルパスを取得することが可能となり、他の攻撃に利用される可能性があります。表示される情報はそれだけでは役に立たず、影響を受けるウェブサイトに損害を与えるためには、別の脆弱性が存在する必要があります。 5.3 CVE
2025-01-03 03:00:07.745859
CVE-2024-7386 WordPress 用プラグイン Premium Packages - Sell Digital Products Securely には、5.9.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、addRefund() 関数の nonce バリデーションが欠落しているためです。これにより、認証されていない攻撃者が、サイト管理者やショップ管理者を騙して、リンクをクリックするなどのアクションを実行させ、偽造されたリクエストを介して払い戻しを開始するなどのアクションを実行することが可能になります。 4.3 CVE
2025-01-03 03:00:07.745090
CVE-2024-6590 スプレッドシートの統合 - WordPress、WooCommerce&最も人気のあるフォームプラグインでGoogleシートを自動化します。また、Display Google sheet as a Table. プラグイン for WordPress は、3.7.9 までのすべてのバージョンにおいて、いくつかの機能の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、投稿ステータスの編集、Google シート統合の編集、Google シート統合の作成を行うことが可能になります。 6.3 CVE
2025-01-03 03:00:07.742616
CVE-2024-4305 Post Grid Gutenberg Blocks and WordPress Blog Plugin 4.1.0以前のWordPressプラグインは、ブロックが埋め込まれているページ/投稿に出力する前に、そのブロックオプションの一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を実行できる可能性があります。 6.8 CVE
2025-01-02 23:00:07.550728
CVE-2024-8919 WordPress 用の Confetti Fall Animation プラグインには、1.3.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'confetti-fall-animation' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-02 23:00:07.419476
CVE-2024-8917 WordPress 用 AnWP Football Leagues プラグインは、0.16.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 6.4 CVE
2025-01-02 23:00:07.418833
CVE-2024-8914 WordPress 用 Thanh Toán Quét Mã QR Code Tự Động - MoMo, ViettelPay, VNPay và 40 ngân hàng Việt Nam プラグインは、wp_kses_allowed_html 関数の不適切な使用により、2.0.1 までのすべてのバージョンにおいて、十分な制限やコンテキストの検証なしに特定の HTML 要素の 'onclick' 属性を許可しているため、Stored Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 7.2 CVE
2025-01-02 23:00:07.418094
CVE-2024-8801 WordPress 用 Elementor プラグイン Happy Addons には、3.12.2 までのすべてのバージョンにおいて、Content Switcher ウィジェットを介した機密情報暴露の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、非公開、下書き、保留中のElementorテンプレートを含む機密データを抽出することが可能になります。 4.3 CVE
2025-01-02 23:00:07.417361
CVE-2024-8437 WP Easy Gallery - WordPress Gallery Plugin plugin for WordPressは、4.8.5までのすべてのバージョンにおいて、wpeg_settingsやwpeg_add_galleryのようなAJAX経由でフックされるいくつかの関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者がギャラリーを変更することが可能になります。 4.3 CVE
2025-01-02 23:00:07.416628
CVE-2024-8436 WP Easy Gallery - WordPress Gallery Plugin plugin for WordPressは、4.8.5までのすべてのバージョンにおいて、'edit_imageId' および 'edit_imageDelete' パラメータを経由したSQLインジェクションの脆弱性があります。 このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能です。 9.9 CVE
2025-01-02 23:00:07.415890
CVE-2024-8267 WordPress 用プラグイン Radio Player - Live Shoutcast, Icecast and Any Audio Stream Player for WordPress は、2.0.78 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'wp:radio-player' Gutenberg ブロック内の 'align' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-02 23:00:07.415018
CVE-2024-8103 WordPress 用の WP Category Dropdown プラグインは、1.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'align' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-01-02 23:00:07.414024
CVE-2023-5359 WordPress 用の W3 Total Cache プラグインは、2.7.5 までのバージョンにおいて、一般に公開されているプラグインソースに平文で保存されている Google OAuth API の秘密を経由して、機密情報を暴露される脆弱性があります。これにより、認証されていない攻撃者が W3 Total Cache になりすまし、成功した場合にユーザーアカウント情報にアクセスできる可能性があります。WordPress のユーザーサイトへの影響はありません。 3.7 CVE
2025-01-02 23:00:07.411704
CVE-2024-8794 WordPress 用 BA Book Everything プラグインは、1.6.20 までのすべてのバージョンにおいて、任意のパスワードリセットに対して脆弱です。これは、reset_user_password() 関数がパスワードを設定する前にユーザの身元を確認しないことが原因です。このため、認証されていない攻撃者が、管理者を含むあらゆるユーザーのパスワードをリセットすることが可能になってしまう。攻撃者は生成されたパスワードにアクセスできないため、特権の昇格は不可能であることに注意することが重要です。 5.3 CVE
2025-01-02 03:00:07.055936
CVE-2024-8791 Donation Forms by Charitable - Donations Plugin & Fundraising Platform for WordPress plugin for WordPress には、1.8.1.14 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これは、update_core_user() 関数で ID パラメータが提供されたときに、プラグインがユーザの身元を適切に検証しないことが原因です。このため、認証されていない攻撃者が、管理者を含む任意のユーザーアカウントのメールアドレスとパスワードを更新し、そのユーザーアカウントにログインするために使用することが可能です。 9.8 CVE
2025-01-02 03:00:07.055280
CVE-2024-8671 WooEvents - Calendar and Event Booking plugin for WordPress は、4.1.2 までのすべてのバージョンにおいて、inc/barcode.php ファイルのファイルパス検証が不十分なため、任意のファイルを上書きする脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルを上書きすることが可能となり、適切なファイル(wp-config.php など)が削除された場合にリモートでコードが実行される可能性があります。 9.1 CVE
2025-01-02 03:00:07.054629
CVE-2024-8628 MailOptin プラグイン(WordPress 用)は、1.2.70.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'post-meta' ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2025-01-02 03:00:07.053973
CVE-2024-8624 WordPress 用 MDTF - Meta Data and Taxonomies Filter プラグインは、1.3.3.3 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリに十分な準備がないため、'mdf_select_title' ショートコードの 'meta_key' 属性を経由した SQL インジェクションの脆弱性があります。 このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能になります。 9.9 CVE
2025-01-02 03:00:07.053259
CVE-2024-8623 WordPress 用 MDTF - Meta Data and Taxonomies Filter プラグインは、1.3.3.3 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 7.3 CVE
2025-01-02 03:00:07.052508
CVE-2022-2439 WordPress 用の Easy Digital Downloads - Simple eCommerce for Selling Digital Files プラグインは、3.3.3 までのバージョンにおいて、'upload[file]' パラメータ経由で信頼できない入力をデシリアライズする脆弱性があります。このため、認証された管理者ユーザが PHAR ラッパーを使用してファイルを呼び出すことが可能となり、 POP チェーンが存在する場合に、任意の PHP オブジェクトをデシリアライズして呼び出すことができます。 7.2 CVE
2025-01-02 03:00:07.049866
CVE-2024-5744 10.6.7以前のwp-eMember WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力していないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 6.8 CVE
2025-01-01 23:00:04.510181
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] (4711)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.