WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-6754 WordPress 用の Social Auto Poster プラグインは、5.3.14 までのすべてのバージョンにおいて、'wpw_auto_poster_update_tweet_template' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の投稿メタデータを更新することが可能になります。 4.3 CVE
2024-11-01 03:00:04.516359
CVE-2024-6753 WordPress 用の Social Auto Poster プラグインは、5.3.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'wpw_auto_poster_map_wordpress_post_type' AJAX 関数の 'mapTypes' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が任意のウェブ・スクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.1 CVE
2024-11-01 03:00:04.514712
CVE-2024-6752 WordPress 用の Social Auto Poster プラグインは、5.3.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'wpw_auto_poster_map_wordpress_post_type' AJAX 関数の 'wp_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-11-01 03:00:04.513515
CVE-2024-6751 WordPress 用の Social Auto Poster プラグインは、5.3.14 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、複数の関数で nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が投稿メタやプラグインオプションを追加、変更、削除することが可能になります。 6.5 CVE
2024-11-01 03:00:04.512291
CVE-2024-6750 WordPress 用の Social Auto Poster プラグインは、5.3.14 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、不正アクセス、改ざん、データ損失の脆弱性があります。これにより、認証されていない攻撃者が投稿メタやプラグインオプションを追加、変更、削除することが可能になります。 7.5 CVE
2024-11-01 03:00:04.505598
CVE-2024-6635 WordPress 用 WooCommerce - Social Login プラグインは、2.7.3 までのバージョンにおいて、認証バイパスの脆弱性があります。これは 'woo_slg_login_email' 関数の制御が不十分なためです。このため、未認証の攻撃者は、ユーザの電子メールを知っていれば、管理者を除くサイトの既存ユーザとしてログインすることが可能です。 7.3 CVE
2024-10-31 23:00:10.021206
CVE-2024-6420 5.2.02以前のHide My WP Ghost WordPressプラグインでは、WordPressのauth_redirect関数によるログインページへのリダイレクトが防止されないため、認証されていない訪問者が非表示のログインページにアクセスできる可能性があります。 8.6 CVE
2024-10-31 03:00:12.549843
CVE-2024-6231 2.4.1以前のRequest a Quote WordPressプラグインでは、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 5.9 CVE
2024-10-31 03:00:12.549103
CVE-2024-4260 3.1.12以前のWordPressプラグイン「Page Builder Gutenberg Blocks」は、一部のショートコードを経由して任意のホストにpingを送信することを防止しておらず、投稿者などの高権限ユーザーがSSRF攻撃を実行できる可能性があります。 6.5 CVE
2024-10-31 03:00:12.546624
CVE-2024-6885 MaxiBlocks: 2200+ Patterns, 190 Pages, 14.2K Icons & 100 Styles for WordPress プラグインは、1.9.2 までの全てのバージョンにおいて、maxi_remove_custom_image_size 関数と maxi_add_custom_image_size 関数のファイルパス検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者がサーバー上の任意のファイルを削除することが可能になり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 8.1 CVE
2024-10-30 23:00:16.053633
CVE-2024-37262 vCita.Com Online Booking & Scheduling Calendar for WordPress by vcita には、Web ページ生成時の入力の不適切な中和 (XSS または 'クロスサイトスクリプティング') の脆弱性があり、Reflected XSS が可能です。この問題は、Online Booking & Scheduling Calendar for WordPress by vcita: n/a から 4.4.2 に影響します。 6.1 CVE
2024-10-30 09:00:07.218904
CVE-2024-37259 この問題は、The Ultimate WordPress Toolkit - WP Extended の n/a から 2.4.7 までのバージョンに影響します。 6.1 CVE
2024-10-30 09:00:07.216372
CVE-2024-6271 1.5以前のWordPressプラグイン「Community Events」では、イベント削除時にCSRFチェックが行われていないため、CSRF攻撃によりログインした管理者に任意のイベントを削除させられる可能性がある。 5.4 CVE
2024-10-30 03:00:10.789915
CVE-2024-6244 1.0.6 より前の PZ Frontend Manager WordPress プラグインには CSRF チェックがない箇所があり、CSRF 攻撃によってログインしているユーザーに不要なアクションを実行させられる可能性があります。 8.8 CVE
2024-10-30 03:00:10.789256
CVE-2024-6243 1.3.33より前のHTML Forms WordPressプラグインは、フォームメッセージの入力をサニタイズおよびエスケープしないため、unfiltered_html機能が無効になっている場合でも、管理者などの高権限ユーザーに蓄積型クロスサイトスクリプティング(XSS)攻撃を許してしまいます。 4.8 CVE
2024-10-30 03:00:10.788601
CVE-2024-5973 3.3.24以前のMasterStudy LMS WordPress Plugin WordPressプラグインでは、学生がインストラクターアカウントを作成することを防止していません。 8.8 CVE
2024-10-30 03:00:10.787949
CVE-2024-5529 3.8.8より前のWP QuickLaTeX WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-10-30 03:00:10.787086
CVE-2024-5004 1.6.6以前のCM Popup Plugin for WordPress WordPressプラグインは、キャンペーン設定の一部をサニタイズおよびエスケープしていないため、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2024-10-30 03:00:10.784411
CVE-2024-37519 Leap13 Premium Blocks - Gutenberg Blocks for WordPressに、Webページ生成時の入力の不適切な中和(XSSまたは「クロスサイトスクリプティング」)の脆弱性があり、Stored XSSが可能です。この問題は、Premium Blocks - Gutenberg Blocks for WordPressのn/aから2.1.27までに影響します。 5.4 CVE
2024-10-29 03:00:08.764241
CVE-2024-37556 SeedProd WordPress Notification Bar に、Web ページ生成時の入力の不適切な中和(XSS または 'クロスサイトスクリプティング' )の脆弱性があり、Stored XSS が可能です。この問題は、WordPress Notification Bar の n/a から 1.3.10 までのバージョンに影響します。 4.8 CVE
2024-10-29 03:00:08.761765
CVE-2024-6848 Post and Page Builder by BoldGrid - Visual Drag and Drop Editor plugin for WordPress は、1.26.6 までのすべてのバージョンにおいて、boldgrid_canvas_image AJAX エンドポイントに影響する入力のサニタイズと出力のエスケープが不十分なため、ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 6.4 CVE
2024-10-28 09:00:07.881061
CVE-2024-6497 SEO Plugin by Squirrly SEO plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、12.3.19 までのすべてのバージョンにおいて、'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 8.8 CVE
2024-10-28 09:00:07.880504
CVE-2024-37959 この問題は、Atlas Public Policy Power BI Embedded for WordPress における Web ページ生成時の入力の不適切な中和(XSS または 'クロスサイトスクリプティング')の脆弱性により、Stored XSS が可能です。この問題は、Power BI Embedded for WordPress の n/a から 1.1.7 に影響します。 5.4 CVE
2024-10-28 09:00:07.879849
CVE-2024-37946 WeDevs ReCaptcha Integration for WordPress にウェブページ生成時の入力の不適切な中和(XSS または 'クロスサイトスクリプティング')の脆弱性があり、Stored XSS が可能です。この問題は、n/a から 1.2.5 までの ReCaptcha Integration for WordPress に影響します。 5.9 CVE
2024-10-28 09:00:07.879048
CVE-2024-37918 この問題は、ConeBlog - WordPress Blog Widgets の n/a から 1.4.8 までのバージョンに影響します。 6.5 CVE
2024-10-28 09:00:07.876499
CVE-2024-6636 WordPress 用 WooCommerce - Social Login プラグインは、2.7.3 までのすべてのバージョンにおいて、'woo_slg_login_email' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がアカウント登録時にデフォルトのロールを Administrator に変更することが可能になります。 9.8 CVE
2024-10-28 03:00:04.698655
CVE-2024-6491 WordPress 用 Getwid - Gutenberg Blocks プラグインは、2.0.10 までのすべてのバージョンにおいて mailchimp_api_key_manage 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が MailChimp API キーを設定することが可能になります。 4.3 CVE
2024-10-28 03:00:04.695145
CVE-2024-6489 WordPress 用プラグイン Getwid - Gutenberg Blocks は、2.0.10 までのすべてのバージョンにおいて、get_google_api_key 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が MailChimp API キーを設定することが可能です。 5.3 CVE
2024-10-28 03:00:04.693347
CVE-2024-6694 WordPress 用 WP Mail SMTP プラグインは、4.0.1 までのすべてのバージョンにおいて情報漏洩の脆弱性があります。これは、プラグインが設定を表示する際にSMTPパスワードフィールドにSMTPパスワードを提供することが原因です。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者は、提供されたサーバーのSMTPパスワードを閲覧することが可能です。ほとんどの場合、これは攻撃者にとって有用ではないが、管理者アカウントが侵害された場合、これは限定された環境で攻撃者にとって有用な情報となる可能性がある。 2.7 CVE
2024-10-28 03:00:04.691297
CVE-2024-3934 WordPress 用 Mercado Pago payments for WooCommerce プラグインは、バージョン 7.3.0 から 7.5.1 において mercadopagoDownloadLog 関数を経由した Path Traversal の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、機密情報を含む可能性のあるサーバ上の任意のファイルをダウンロードし、その内容を読み取ることが可能になります。任意のファイルのダウンロードは 7.5.1 で修正され、欠落していた認証はバージョン 7.6.2 で修正されました。 6.5 CVE
2024-10-28 03:00:04.689364
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] (4281)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.