WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-49960 | この問題は、LeadBI Plugin for WordPress の n/a から <= 1.7 までのバージョンに影響します。 | 6.5 |
CVE 2026-01-19 09:00:12.444188 |
| CVE-2025-49953 | この問題は、WordPress 用の究極のソーシャル共有ボタンである ShareBang の n/a から <= 1.4 までのバージョンに影響します。 | 7.1 |
CVE 2026-01-19 09:00:12.443312 |
| CVE-2025-11086 | Academy LMS - WordPress LMS Plugin for Complete eLearning Solution プラグインは、3.3.7 までのすべてのバージョンにおいて、特権昇格の脆弱性があります。これは、ソーシャルログインアドオン経由でユーザーを登録する前に、プラグインがユーザーのロールを適切に検証しないことが原因です。このため、認証されていない攻撃者がサイトに登録する際に、ロールを管理者に更新することが可能です。 | 8.1 |
CVE 2026-01-19 09:00:12.442811 |
| CVE-2025-6833 | WordPress 用 All in One Time Clock Lite - Tracking Employee Time Has Never Been Easier プラグインは、2.0 までのすべてのバージョンにおいて、'aio_time_clock_lite_js' AJAX アクション経由で、ユーザー制御キーのバリデーションが欠落しているため、安全でない直接オブジェクト参照の脆弱性があります。このため、サブスクライバー以上のアクセス権を持つ認証済みの攻撃者が、他のユーザーを出入りさせることが可能です。 | 4.3 |
CVE 2026-01-19 09:00:12.441983 |
| CVE-2025-11883 | WordPress 用の Responsive Progress Bar プラグインは、1.0 未満のバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの rprogress ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.441095 |
| CVE-2025-11880 | WordPress 用 SM CountDown Widget プラグインは、1.2 未満のバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの smcountdown ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.440273 |
| CVE-2025-11878 | WordPress 用 ST Categories Widget プラグインは、バージョン 1.0.0 未満の場合、プラグインの st-categories ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。 これは、ユーザが提供した属性に対する入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.439194 |
| CVE-2025-11872 | WordPress 用 Material Design Iconic Font Integration プラグインは、2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの 'mdiconic' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.438670 |
| CVE-2025-11870 | WordPress 用 Simple Business Data プラグインには、1.0.1 までのすべてのバージョンにおいて、'simple_business_data' ショートコード属性を介した Stored Cross-Site Scripting の脆弱性があります。これは、レンダリングされた HTML の `class` 属性に `type` 属性を埋め込む際に、プラグインがユーザー入力を適切にサニタイズしていなかったり、出力をエスケープしていなかったりすることが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.438148 |
| CVE-2025-11867 | WordPress用のBg Book Publisherプラグインは、1.25までのすべてのバージョンにおいて、`[book_author]`ショートコードを通してレンダリングされる`book_author`投稿メタを経由した、蓄積型クロスサイト・スクリプティングの脆弱性があります。これはプラグインが出力前にメタ値を適切にエスケープしていないことが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.437296 |
| CVE-2025-11866 | WordPress 用 Photographers galleries プラグインは、1.1.8 までのすべてのバージョンにおいて、複数のショートコード属性 (`w`, `h`, `raw_css`, `look` など) を介した Stored Cross-Site Scripting の脆弱性があります。これは、HTML属性やインラインスタイルにこれらの値を挿入する際に、プラグインが適切にユーザ入力をサニタイズしたり、出力をエスケープしていないことが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.436382 |
| CVE-2025-11834 | WordPress 用 WP AD Gallery プラグインには、1.3 までのすべてのバージョンにおいて、ad-gallery ショートコードの 'startindex' パラメータを介した、蓄積型クロスサイトスクリプティングの脆弱性があります。これは、入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.435521 |
| CVE-2025-11830 | WordPress 用 WP Restaurant Listings プラグインには、1.0.2 までのすべてのバージョンにおいて、restaurant_summary ショートコードの 'align' パラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これは、入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.435008 |
| CVE-2025-11827 | WordPress 用 Oboxmedia Ads プラグインには、1.9.8 までのすべてのバージョンにおいて、oboxads-ad-widget ショートコードの 'before_widget' および 'after_widget' パラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これは入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.434232 |
| CVE-2025-11825 | WordPress 用 Playerzbr プラグインは、1.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'urlmeta' post meta フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.433717 |
| CVE-2025-11824 | WordPress 用 Cinza Grid プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cgrid_skin_content' post meta フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.432887 |
| CVE-2025-11819 | WordPress 用 WP-Thumbnail プラグインは、1.1 までのすべてのバージョンにおいて、'roboshot' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.431586 |
| CVE-2025-11818 | WordPress 用 WP Responsive Meet The Team プラグインには、1.0.1 までのすべてのバージョンにおいて、'wprm_team' ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これは、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.430732 |
| CVE-2025-11817 | WordPress用のSimple Tableau Vizプラグインは、2.0までの全てのバージョンにおいて、'tableau'ショートコードを経由したStored Cross-Site Scriptingの脆弱性があります。これは、ユーザーが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.429769 |
| CVE-2025-11813 | WordPress 用の Responsive iframe GoogleMap プラグインは、1.0.2 までのすべてのバージョンにおいて、'responsive_map' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'width' 属性と 'height' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.429176 |
| CVE-2025-11811 | WordPress 用 Simple Youtube Shortcode プラグインは、1.1.3 までのすべてのバージョンにおいて、'embed_youtube' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'id' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.428273 |
| CVE-2025-11810 | WordPress 用 Print Button Shortcode プラグインは、1.0.1 までのすべてのバージョンにおいて、'print-button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'target' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.427441 |
| CVE-2025-11809 | WordPress 用 WP-Force Images Download プラグインは、1.8 までのすべてのバージョンにおいて、'wpfid' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'class' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.426023 |
| CVE-2025-11807 | WordPress 用 Mixlr Shortcode プラグインは、1.0.1 までのすべてのバージョンにおいて、'mixlr' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'url' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.425153 |
| CVE-2025-11804 | WordPress 用 JB News Ticker プラグインは、1.0 までのすべてのバージョンにおいて、'jbticker' ショートコードの 'id' ショートコード属性を経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これは、入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.424250 |
| CVE-2025-10138 | WordPress 用 This-or-That プラグインは、1.0.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'thisorthat' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.423683 |
| CVE-2025-10047 | Email Tracker - Email Log, Email Open Tracking, Email Analytics & Email Management for WordPress WordPress用Eメールプラグインは、5.3.12までのすべてのバージョンにおいて、'orderby'パラメータを経由したSQLインジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2026-01-19 09:00:12.422631 |
| CVE-2025-12033 | Simple Banner - Easily add multiple Banners/Bars/Notifications/Announcements to the top or bottom of your website plugin for WordPress は、3.0.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'pro_version_activation_code' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-01-19 09:00:12.421657 |
| CVE-2025-10588 | WordPress 用 PixelYourSite - Your smart PIXEL (TAG) & API Manager プラグインは、11.1.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは adminEnableGdprAjax() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介してGDPR設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.420715 |
| CVE-2025-10570 | WordPress 用 WooCommerce プラグイン Flexible Refund and Return Order には、1.0.38 までのすべてのバージョンにおいて、save_refund_request() 関数を経由した Missing Authorization の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、自分が所有していない任意の注文に対して返金リクエストを送信することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.419748 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.