見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-5711 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、 AJAX アクション経由でフックされる sd_php_info() 関数の機能チェックが欠落しているため、 データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、 PHP info によって提供された機密情報を取得することが可能となります。 | 4.3 |
CVE 2024-03-15 23:00:04.175319 |
CVE-2023-5710 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_constants() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、データベースの認証情報などの機密情報を取得することが可能になります。 | 4.3 |
CVE 2024-03-15 23:00:04.172516 |
CVE-2023-6527 | WordPress 用 Email Subscription Popup プラグインは、1.2.18 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、HTTP_REFERER ヘッダを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-03-15 03:00:04.856411 |
CVE-2023-5108 | Easy Newsletter Signups WordPress プラグイン 1.0.4 では、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープを行っていないため、admin などの高権限ユーザーが悪用可能な SQL インジェクションが発生します。 | 7.2 |
CVE 2024-03-13 09:00:08.542465 |
CVE-2023-6063 | 1.2.2 より前の WP Fastest Cache WordPress プラグインでは、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープが行われないため、認証されていないユーザーによって悪用される SQL インジェクションが発生します。 | 7.5 |
CVE 2024-03-13 09:00:08.433636 |
CVE-2023-5953 | 2.9.5より前のWelcart e-Commerce WordPressプラグインは、アップロードされるファイルの検証を行わず、またそのようなアップロードを処理するAJAXアクションに認証とCSRFを備えていません。その結果、購読者のような認証されたユーザーは、サーバー上の PHP のような任意のファイルをアップロードすることができます。 | 8.8 |
CVE 2024-03-13 09:00:08.431906 |
CVE-2023-5952 | 2.9.5以前のWelcart e-Commerce WordPressプラグインは、クッキーからのユーザー入力をシリアライズしないため、適切なガジェットがブログに存在する場合、不正なユーザーがPHPオブジェクト・インジェクションを実行できる可能性がある。 | 9.8 |
CVE 2024-03-13 09:00:08.431360 |
CVE-2023-5951 | 2.9.5以前のWelcart e-Commerce WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイト・スクリプティングが発生します。 | 6.1 |
CVE 2024-03-13 09:00:08.430725 |
CVE-2023-5874 | 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.429092 |
CVE-2023-5809 | 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.428500 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.