WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-2439 | WordPress 用 UserPro プラグインは、5.1.5 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'userpro' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-04-24 09:00:05.475020 |
| CVE-2024-23825 | TablePressはWordpress用のテーブルプラグインです。テーブルをインポートするために、TablePressはユーザーが提供するURLに基づいて外部HTTPリクエストを行う。そのユーザー入力は十分にフィルタリングされていないため、意図しないネットワークロケーションにリクエストを送信し、レスポンスを受け取ることが可能だ。AWSのようなクラウド環境のサイトでは、攻撃者はインスタンスのメタデータREST APIにGETリクエストを行う可能性がある。インスタンスの設定が安全でない場合、これは認証情報を含む内部データの暴露につながる可能性がある。この脆弱性は 2.2.5 で修正されています。 | 4.9 |
CVE 2024-04-24 09:00:05.474351 |
| CVE-2024-1061 | HTML5 Video Player' WordPress プラグイン(バージョン < 2.5.25)には、'get_view' 関数の 'id' パラメータに認証されていない SQL インジェクションの脆弱性があります。 | 9.8 |
CVE 2024-04-24 09:00:05.473724 |
| CVE-2023-7225 | WordPress 用 MapPress Maps for WordPress プラグインは、2.88.16 までのすべてのバージョンにおいて、入 力サニタイズと出力エスケープが不十分なため、width と height パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-04-24 09:00:05.473014 |
| CVE-2023-7204 | 3.2.0以前のWP STAGING WordPress Backupプラグインでは、クローン作成中にキャッシュファイルにアクセスすることができます。 | 7.5 |
CVE 2024-04-24 09:00:05.472371 |
| CVE-2023-7200 | 4.4.1以前のEventON WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2024-04-24 09:00:05.471729 |
| CVE-2023-7199 | 4.22.0以前のRelevanssi WordPressプラグイン、2.25.0以前のRelevanssi Premium WordPressプラグインでは、認証されていないユーザーが細工されたリクエストを介して下書きや非公開の投稿を読むことができます。 | 5.3 |
CVE 2024-04-24 09:00:05.471075 |
| CVE-2023-7089 | 1.0までのEasy SVG Allow WordPressプラグインはアップロードされたSVGファイルをサニタイズしないため、Author程度のロールを持つユーザがXSSペイロードを含む悪意のあるSVGをアップロードできる可能性があります。 | 5.4 |
CVE 2024-04-24 09:00:05.470438 |
| CVE-2023-7074 | WordPressプラグイン「WP SOCIAL BOOKMARK MENU」(1.2まで)には、設定を更新する際にCSRFチェックが行われていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性があります。 | 8.8 |
CVE 2024-04-24 09:00:05.469779 |
| CVE-2023-6946 | 1.0.3 までの Autotitle for WordPress プラグインには、設定を更新する際に CSRF チェックが行われていないため、攻撃者はログインした管理者に CSRF 攻撃で設定を変更させることができます。 | 8.8 |
CVE 2024-04-24 09:00:05.468953 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.