WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-5860 | WordPress 用 Icons Font Loader プラグインは、1.1.2 までのすべてのバージョンにおいて、アップロード機能におけるファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2024-03-18 03:00:06.911605 |
| CVE-2023-6120 | WordPress 用の Welcart e-Commerce プラグインには、2.9.6 までのすべてのバージョンにおいて、upload_certificate_file 関数を介した Directory Traversal の脆弱性があります。これにより、管理者は .pem または .crt ファイルをサーバー上の任意の場所にアップロードすることが可能になります。 | 2.7 |
CVE 2024-03-18 03:00:06.751358 |
| CVE-2023-5756 | WordPress 用 Digital Publications by Supsystic プラグインは、1.7.6 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、AJAX アクションハンドラの nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させることができる、偽造されたリクエストを経由して AJAX アクションを実行することが可能になります。 | 8.8 |
CVE 2024-03-18 03:00:06.747983 |
| CVE-2023-5082 | 1.0.13より前のHistory Log by click5 WordPressプラグインは、SQL文で使用する前にパラメータを適切にサニタイズおよびエスケープしていないため、Smash Balloon Social Photo Feedプラグインを併用すると、管理者ユーザーにSQLインジェクションを悪用される可能性があります。 | 7.2 |
CVE 2024-03-17 23:00:04.480158 |
| CVE-2023-6219 | WordPress 用 BookingPress プラグインは、1.0.76 までのバージョンにおいて、'bookingpress_process_upload' 関数のファイル検証が不十分なため、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上の権限を持つ攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2024-03-17 03:00:08.226845 |
| CVE-2023-4971 | Weaver Xtreme Theme Support WordPressプラグイン6.3.1より前のバージョンでは、インポートされたファイルの内容がシリアライズされないため、高い権限を持つユーザーが悪意のあるファイルをインポートし、適切なガジェットチェーンがブログ上に存在する場合、PHPオブジェクトインジェクションの問題につながる可能性があります。 | 7.2 |
CVE 2024-03-16 23:00:10.759788 |
| CVE-2023-46823 | Avirtum ImageLinks Interactive Image Builder for WordPress には、SQL コマンドで使用される特殊要素の不適切な中和(「SQL インジェクション」)の脆弱性があり、SQL インジェクションが可能です。この問題は、ImageLinks Interactive Image Builder for WordPress の n/a から 1.5.4 に影響します。 | 7.2 |
CVE 2024-03-16 09:00:04.192682 |
| CVE-2023-47548 | この問題は、Integrate Google Drive - Browse, Upload, Download, Embed, Play, Share, Gallery, and Manage Your Google Drive Files Into Your WordPress Site: n/a から 1.3.2 に影響します。 | 6.1 |
CVE 2024-03-16 09:00:04.060288 |
| CVE-2023-48325 | PluginOps Landing Page Builder - Lead Page - Optin Page - Squeeze Page - WordPress Landing Pagesにおける信頼できないサイトへのURLリダイレクト('Open Redirect')の脆弱性この問題は、Landing Page Builder - Lead Page - Optin Page - Squeeze Page - WordPress Landing Pages:n/aから1.5.1.5までに影響します。 | 6.1 |
CVE 2024-03-16 09:00:04.059594 |
| CVE-2023-35909 | この問題は Ninja Forms Contact Form - The Drag and Drop Form Builder for WordPress: n/a から 3.6.25 までのバージョンに影響します。 | 5.3 |
CVE 2024-03-16 09:00:04.058851 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.