WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13712 | WordPress 用 Pollin プラグインは、1.01.1 までのすべてのバージョンにおいて、ユーザが提供するパラメー タのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、'question' パラメータを介した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2025-05-24 03:00:10.474990 |
| CVE-2024-13711 | WordPress 用 Pollin プラグインは、1.01.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'question' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-24 03:00:10.474275 |
| CVE-2024-13679 | WordPress用Widget BUY.BOXプラグインは、3.1.5までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分であるため、プラグインの'buybox-widget'ショートコードを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.473608 |
| CVE-2024-13676 | WordPress用のCategorized Gallery Pluginプラグインは、2.0までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存のSQLクエリに十分な準備がないため、'image_gallery'ショートコードの'field'属性を経由したSQLインジェクションの脆弱性があります。 これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-05-24 03:00:10.472911 |
| CVE-2024-13674 | WordPress 用 Cosmic Blocks (40+) Content Editor Blocks Collection プラグインは、1.3.0 までのすべてのバージョンにおいて、プラグインの 'cwp_social_share' ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.472218 |
| CVE-2024-13663 | WordPress 用 Coaching Staffs プラグインは、1.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分であるため、プラグインの 'mstw-cs-table' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.471454 |
| CVE-2024-13660 | WordPress 用の Responsive Flickr Slideshow プラグインは、2.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'fshow' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.470788 |
| CVE-2024-13657 | WordPress用のStore Locator Widgetプラグインは、20200131までの全てのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの'storelocatorwidget'ショートコードを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.470163 |
| CVE-2024-13592 | WordPress 用 Team Builder For WPBakery Page Builder (Formerly Visual Composer) プラグインは、1.0 までのすべてのバージョンにおいて、'team-builder-vc' ショートコードを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これは、アクセス制御を迂回したり、機密データを取得したり、画像や他の「安全な」ファイルタイプをアップロードしてインクルードできる場合にコード実行を実現するために使用できます。 | 7.5 |
CVE 2025-05-24 03:00:10.469543 |
| CVE-2024-13591 | WordPress 用 Team Builder For WPBakery Page Builder (Formerly Visual Composer) プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分なため、プラグインの 'team-builder-vc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.468874 |
| CVE-2024-13589 | WordPress 用 YouTube Playlists with Schema プラグインは、2.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'yt_grid' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.468135 |
| CVE-2024-13468 | WordPress 用 Trash Duplicate and 301 Redirect プラグインは、1.9 までのすべてのバージョンにおいて、'duplicates-action-top' アクションの機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、認証されていない攻撃者が任意の投稿/ページを削除することが可能になります。 | 7.5 |
CVE 2025-05-24 03:00:10.467519 |
| CVE-2024-13462 | WordPress 用 WP Wiki Tooltip プラグインは、2.0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wiki' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.466883 |
| CVE-2024-13405 | WordPress 用 Apptivo Business Site CRM プラグインは、5.3 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'awp_ip_deny' ページの nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して IP アドレスをブロックすることが可能になります。 | 4.3 |
CVE 2025-05-24 03:00:10.466206 |
| CVE-2024-13390 | ADFO - Custom data in admin dashboard plugin for WordPress は、1.9.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'adfo_list' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.465491 |
| CVE-2024-12522 | Yay!Forms | Embed Custom Forms, Surveys, and Quizzes Easily plugin for WordPress は、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'yayforms' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.464895 |
| CVE-2024-12339 | WordPress 用 Digihood HTML Sitemap プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.1.1 までのすべてのバージョンにおいて、'channel' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-05-24 03:00:10.464239 |
| CVE-2024-12069 | WordPress 用 Lexicata プラグインは、1.0.16 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、特別に細工されたリンクをクリックするなどのアクションをユーザーに実行させることに成功した場合、実行する任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-24 03:00:10.463552 |
| CVE-2024-11778 | WordPress 用 CanadaHelps Embedded Donation Form プラグインは、1.0.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'embedcdn' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.462874 |
| CVE-2024-11753 | WordPress 用の UMich OIDC Login プラグインは、1.2.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'umich_oidc_button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.462137 |
| CVE-2024-11335 | WordPress 用プラグイン UltraEmbed - Advanced Iframe Plugin For WordPress with Gutenberg Block Included は、1.0.3 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'iframe' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.461432 |
| CVE-2025-1065 | Visualizer:Visualizer: Tables and Charts Manager for WordPress plugin for WordPress には、3.11.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの Import Data From File 機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.460804 |
| CVE-2024-13799 | User Private Files - File Upload & Download Manager with Secure File Sharing plugin for WordPress は、2.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'new-fldr-name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.460128 |
| CVE-2024-12173 | 3.10.5以前のMaster Slider WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、Editor以上のような高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-05-24 03:00:10.459526 |
| CVE-2025-1441 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.7.1007 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'wpr_filter_woo_products' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-24 03:00:10.458943 |
| CVE-2024-13443 | WordPress 用 Easypromos Plugin プラグインは、1.3.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Easypromos ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.458300 |
| CVE-2024-11582 | Subscribe2 - Form, Email Subscribers & Newsletters plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、10.43 までのすべてのバージョンにおいて ip パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-05-24 03:00:10.457669 |
| CVE-2024-13508 | WordPress 用 Booking Package プラグインは入力のサニタイズと出力のエスケープが不十分なため、1.6.72 までのすべてのバージョンにおいて locale パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-24 03:00:10.457051 |
| CVE-2024-13743 | WordPress 用 Wonder Video Embed プラグインは、2.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wonderplugin_video ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-24 03:00:10.456349 |
| CVE-2025-27013 | EPC MediCenter - Health Medical Clinic WordPress Theme の Missing Authorization 脆弱性により、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は MediCenter - Health Medical Clinic WordPress Theme: n/a から n/a に影響します。 | 5.3 |
CVE 2025-05-24 03:00:10.455766 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.