WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] (2701)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-31344 この問題は、Easy Login Styler - White Label Admin Login Page for WordPress: n/a から 1.0.6 までのバージョンに影響します。 5.9 CVE
2024-07-16 09:00:08.238171
CVE-2023-6877 RSS Aggregator by Feedzy - Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator plugin for WordPress は、4.3.3 までのすべてのバージョンにおいて、無効な RSS フィードを取得する際のエラーメッセージの Content-Type フィールドの入力サニタイズと出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 23:00:03.986483
CVE-2024-2296 WordPress 用 Photo Gallery by 10Web - Mobile-Friendly Image Gallery プラグインは、1.8.21 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 5.5 CVE
2024-07-15 09:00:06.015541
CVE-2024-2132 WordPress 用 Elementor プラグイン Ultimate Bootstrap Elements には、1.4.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Image ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 09:00:06.013096
CVE-2024-2458 WordPress 用プラグイン Powerkit - Supercharge your WordPress Site には、2.9.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 03:00:25.910633
CVE-2024-1428 WordPress用のElement Pack Elementor Addons (Header Footer, Free Template Library, Grid, Carousel, Table, Parallax Animation, Register Form, Twitter Grid) プラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.5.3までのすべてのバージョンにおいて、Trailer Boxウィジェットの'element_pack_wrapper_link'属性を経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 03:00:25.910064
CVE-2024-0837 WordPress用プラグイン Element Pack Elementor Addons (Header Footer, Free Template Library, Grid, Carousel, Table, Parallax Animation, Register Form, Twitter Grid) には、入力のサニタイズと出力のエスケープが不十分なため、5.3.2までのすべてのバージョンにおいて、image URLパラメータを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 03:00:25.909483
CVE-2024-2949 WP Carousel の Carousel, Slider, Gallery - Image Carousel & Photo Gallery, Post Carousel & Post Grid, Product Carousel & Product Grid for WooCommerce plugin for WordPress には、2.6.3 までのすべてのバージョンにおいて、カルーセルウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 03:00:25.908870
CVE-2024-2471 WordPress用FooGalleryプラグインは、2.4.14までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、画像添付フィールド('Title'、'Alt Text'、'Custom URL'、'Custom Class'、'Override Type'など)を介したStored Cross-Site Scriptingの脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 6.4 CVE
2024-07-15 03:00:25.908255
CVE-2024-3216 WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels plugin for WordPress は、4.4.2 までのすべてのバージョンにおいて、wt_pklist_reset_settings() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、認証されていない攻撃者がプラグインのすべての設定をリセットすることが可能です。 5.3 CVE
2024-07-15 03:00:25.907658
CVE-2024-2950 BoldGrid Easy SEO - Simple and Effective SEO plugin for WordPress には、1.6.14 までのすべてのバージョンにおいて、meta 情報 (og:description) を介した情報漏えいの脆弱性があります。 5.3 CVE
2024-07-15 03:00:25.907089
CVE-2024-2656 Email Subscribers by Icegram Express - Email Marketing, Newsletters, Automation for WordPress & WooCommerce plugin for WordPress には、5.7.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、CSV インポートを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 4.4 CVE
2024-07-15 03:00:25.906406
CVE-2024-1385 WordPress 用 WP-Stateless - Google Cloud Storage プラグインは、3.4.0 までのすべてのバージョンにおいて dismiss_notices() 関数の機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のオプション値を現在時刻に更新することが可能となり、サイトを完全にオフラインにしてしまう可能性があります。 7.1 CVE
2024-07-15 03:00:25.905657
CVE-2024-3245 EmbedPress - Embed PDF, Google Docs, Vimeo, Wistia, Embed YouTube Videos, Audios, Maps & Embed Any Documents in Gutenberg & Elementor plugin for WordPress には、3.9.14 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Youtube ブロックを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-15 03:00:25.903098
CVE-2024-1994 WordPress 用 Image Watermark プラグインは、1.7.3 までのすべてのバージョンにおいて、watermark_action_ajax() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、画像に透かしを適用したり削除したりすることが可能です。 4.3 CVE
2024-07-14 23:00:04.051458
CVE-2023-34370 Brainstorm Force Starter Templates - Elementor, WordPress & Beaver Builder Templates, Brainstorm Force Premium Starter Templates にサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。この問題は、Starter Templates - Elementor, WordPress & Beaver Builder Templates: n/a から 3.2.4 まで、Premium Starter Templates: n/a から 3.2.4 まで に影響します。 7.1 CVE
2024-07-14 09:00:06.914074
CVE-2024-2499 WordPress 用の Squelch Tabs and Accordions Shortcodes プラグインは、0.4.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'accordions' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-14 09:00:04.300381
CVE-2023-5692 WordPress Core には、6.4.3 までのバージョンにおいて、redirect_guess_404_permalink 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、投稿ステータスが「publicly_queryable」に設定されたカスタム投稿のスラッグを公開する可能性があります。 5.3 CVE
2024-07-14 09:00:04.295446
CVE-2024-3217 WordPress 用 WP Directory Kit プラグインは、1.3.0 までのすべてのバージョンにおいて、'attribute_value' および 'attribute_id' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能になります。 8.8 CVE
2024-07-14 03:00:04.500996
CVE-2024-2115 WordPress 用プラグイン LearnPress - WordPress LMS Plugin は、4.0.0 までのすべてのバージョンにおいて、Cross-Site Request Forgery の脆弱性があります。 これは、filter_users 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストにより、教師権限に昇格することが可能です。 8.8 CVE
2024-07-14 03:00:04.499841
CVE-2024-2509 3.2.26以前のGutenberg Blocks by Kadence Blocks WordPressプラグインは、ブロックが埋め込まれているページ/投稿に出力する前に、そのブロックオプションの一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を実行できる可能性があります。 6.5 CVE
2024-07-14 03:00:04.496389
CVE-2024-30201 Xylus Themes WordPress Importer には、Web ページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、Reflected XSS が可能です。この問題は、n/a から 1.0.4 までの WordPress Importer に影響します。 7.1 CVE
2024-07-13 23:00:04.732083
CVE-2024-31211 WordPress は Web 用のオープンなパブリッシングプラットフォームである。WP_HTML_Token` クラスのインスタンスをアンシリアライズすると、その `__destruct()` マジックメソッドによってコードを実行される可能性があります。この問題は2023年12月6日のWordPress 6.4.2で修正されました。6.4.0 より前のバージョンは影響を受けません。 5.5 CVE
2024-07-13 23:00:04.606897
CVE-2024-31210 WordPressはWebのためのオープンなパブリッシングプラットフォームです。WordPressのプラグイン -> 新規追加 -> プラグインのアップロード画面で、zipファイル以外のタイプのファイルを管理ユーザーによって新しいプラグインとして投稿することが可能です。ファイルを `uploads` ディレクトリ以外の場所に移動するために)インストールのために FTP 認証情報が要求された場合、アップロードされたファイルは許可されていないにもかかわらず、メディアライブラリで一時的に利用可能なままになります。もし `DISALLOW_FILE_EDIT` 定数が `true` に設定されていて、新しいテーマやプラグインをアップロードする際に FTP 認証が必要な場合、技術的にはユーザが任意の PHP コードを実行する手段がないにもかかわらず、RCE を許してしまいます。この問題は、単一サイトのインストールでは管理者レベルのユーザにのみ、 マルチサイトのインストールではスーパー管理者レベルのユーザにのみ 影響します。それ以下のレベルのユーザは影響を受けません。DISALLOW_FILE_MODS` 定数が `true` に設定されているサイトは影響を受けません。管理者ユーザが FTP 認証情報を入力する必要がないか、有効な FTP 認証情報にアクセスできるサイトは影響を受けない。この問題は 2024 年 1 月 30 日に WordPress 6.4.3 で修正され、バージョン 6.3.3、6.2.4、6.1.5、6.0.7、5.9.9、5.8.9、5.7.11、5.6.13、5.5.14、5.4.15、5.3.17、5.2.20、5.1.18、5.0.21、4.9.25、2.8.24、4.7.28、4.6.28、4.5.31、4.4.32、4.3.33、4.2.37、4.1.40。回避策がある。定数 `DISALLOW_FILE_MODS` が `true` に定義されている場合、どのユーザもプラグインをアップロードすることができないため、この問題を悪用することはできない。 7.6 CVE
2024-07-13 23:00:04.604015
CVE-2024-0672 2.5.1までのPz-LinkCard WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングが発生します。 7.1 CVE
2024-07-13 03:00:09.502890
CVE-2024-1418 WordPress 用 CGC Maintenance Mode プラグインは、1.2 までのすべてのバージョンにおいて、REST API 経由での機密情報漏洩の脆弱性があります。このため、メンテナンスモードが有効になっている場合でも、認証されていない攻撃者が REST API 経由で保護された投稿を閲覧することが可能です。 5.3 CVE
2024-07-13 03:00:04.352627
CVE-2024-2919 WordPress 用プラグイン Gutenberg Blocks by Kadence Blocks - Page Builder Features には、3.2.31 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、CountUp ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-13 03:00:04.351537
CVE-2024-2830 WordPress 用の WordPress Tag and Category Manager - AI Autotagger プラグインは、3.13.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'st_tag_cloud' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-13 03:00:04.350321
CVE-2024-2008 WordPress 用の Modal Popup Box - Popup Builder, Show Offers And News in Popup プラグインは、1.5.2 までのすべてのバージョンにおいて、 awl_modal_popup_box_shortcode 関数内の信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP Object をインジェクションすることが可能となります。対象のシステムにインストールされた追加のプラグインやテーマを経由して POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 8.8 CVE
2024-07-13 03:00:04.346552
CVE-2024-31103 この問題は、Kanban Boards for WordPressのn/aから2.5.21までのバージョンに影響します。 7.1 CVE
2024-07-12 23:00:05.572304
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] (2701)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.