WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13750 | Multilevel Referral Affiliate Plugin for WooCommerce plugin for WordPress は、2.27 までのすべてのバージョンにおいて、'orderby' パラメータ経由の SQL インジェクションの脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-06-09 03:00:15.167535 |
| CVE-2024-13746 | WordPress 用 Booking Calendar and Notification プラグインは、4.0.3 までのすべてのバージョンにおいて、 wpcb_all_booking()、wpcb_update_booking_post()、wpcb_delete_posts() 関数の機能チェックが欠落しているため、不正アクセス、改ざん、データ消失の脆弱性があります。これにより、認証されていない攻撃者がデータを抽出したり、予約を作成・更新したり、任意の投稿を削除したりすることが可能になります。 | 6.5 |
CVE 2025-06-09 03:00:15.166934 |
| CVE-2024-13568 | WordPress 用の Fluent Support - Helpdesk & Customer Support Ticket System プラグインは、1.8.5 までのすべてのバージョンにおいて、'fluent-support' ディレクトリを経由した機密情報暴露の脆弱性があります。このため、認証されていない攻撃者が、サポートチケットに含まれる添付ファイルを含む /wp-content/uploads/fluent-support ディレクトリに安全に保存されていない機密データを抽出することが可能になります。 | 7.5 |
CVE 2025-06-09 03:00:15.166041 |
| CVE-2024-13559 | WordPress 用 TemplatesNext ToolKit プラグインは、3.2.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'tx_woo_wishlist_table' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-09 03:00:15.165078 |
| CVE-2024-13518 | WordPress 用 Simple:Press Forum プラグインは、6.10.11 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'sp_save_edited_post' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストを使用してフォーラムの投稿を変更することが可能になります。 | 4.3 |
CVE 2025-06-09 03:00:15.164040 |
| CVE-2025-1780 | BuddyPress WooCommerce My Account Integration.Create WooCommerce Member Pages plugin for WordPressは、3.4.25までのすべてのバージョンにおいて、wc4bp_delete_page()関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインのページ設定を更新することが可能です。 | 4.3 |
CVE 2025-06-09 03:00:15.162946 |
| CVE-2024-13358 | BuddyPress WooCommerce My Account Integration.Create WooCommerce Member Pages plugin for WordPressは、3.4.24までのすべてのバージョンにおいて、wc4bp_delete_page()関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインのページ設定を更新することが可能になります。 | 4.3 |
CVE 2025-06-09 03:00:15.158955 |
| CVE-2025-1319 | Site Mailer - SMTP Replacement, Email API Deliverability & Email Log プラグイン for WordPress は、1.2.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 09:00:08.012646 |
| CVE-2024-10860 | WordPress 用プラグイン NextMove Lite - Thank You Page for WooCommerce には、2.19.0 までのすべてのバージョンにおいて、_submit_uninstall_reason_action() 関数の機能チェックが欠落しているため、データを不正に送信される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、サイトの代わりに無効化理由を送信することが可能になります。 | 4.3 |
CVE 2025-06-08 09:00:08.011909 |
| CVE-2025-1662 | WordPress 用 URL Media Uploader プラグインは、1.0.0 までのすべてのバージョンにおいて、'url_media_uploader_url_upload' アクションを経由した Server-Side Request Forgery の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 6.4 |
CVE 2025-06-08 09:00:08.010907 |
| CVE-2025-1560 | WordPress 用 WOW Entrance Effects (WEE!) プラグインは、0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'wee' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 09:00:08.008731 |
| CVE-2024-9193 | WHMpress - WHMCS WordPress Integration Plugin plugin for WordPress は、6.3-revision-0 までの全てのバージョンにおいて、 whmpress_domain_search_ajax_extended_results() 関数を経由したローカルファイルインクルードの脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルをインクルードして実行することが可能となり、 そのファイル内の任意の PHP コードを実行できるようになります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の "安全な" ファイル形式をアップロードしてインクルードする場合に コード実行を行うために使用することができます。これにより、認証されていない攻撃者がWordPressサイト上の任意のオプションを更新することが可能になります。/admin/services.phpファイルを利用することで、登録のデフォルトロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 | 9.8 |
CVE 2025-06-08 09:00:08.006916 |
| CVE-2024-9019 | SecuPress Free - WordPress Security plugin for WordPress は、2.2.5.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの secupress_check_ban_ips_form ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 09:00:08.006184 |
| CVE-2024-8425 | WordPress 用 WooCommerce Ultimate Gift Card プラグインは、2.6.0 までのすべてのバージョンにおいて、'mwb_wgm_preview_mail' および 'mwb_wgm_woocommerce_add_cart_item_data' 関数のファイルタイプ検証が不十分なため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-06-08 09:00:08.005534 |
| CVE-2024-8420 | WordPress 用 DHVC Form プラグインは、2.4.7 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これは、このプラグインがユーザ登録時に 'role' フィールドを与えることを許可しているためです。これにより、認証されていない攻撃者がサイトの管理者として登録できるようになります。 | 9.8 |
CVE 2025-06-08 09:00:08.004816 |
| CVE-2024-13851 | WordPress 用 Modal Portfolio プラグインは、1.7.4.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-06-08 09:00:08.004011 |
| CVE-2024-13832 | WordPress 用 Ultra Addons Lite for Elementor プラグインは、1.1.8 までのすべてのバージョンにおいて、どの投稿を含めることができるかの制限が不十分なため、'ut_elementor' ショートコード経由で情報漏えいの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、パスワードで保護された投稿、非公開の投稿、またはアクセスすべきでない下書きの投稿からデータを抽出することが可能になります。 | 4.3 |
CVE 2025-06-08 09:00:08.003256 |
| CVE-2024-13831 | WordPress 用 Tabs for WooCommerce プラグインは、1.0.0 までのすべてのバージョンにおいて、 'product_has_custom_tabs' 関数内の信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、ショップマネージャレベル以上のアクセス権を持つ、 認証された攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性の影響はありません。つまり、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性の影響はありません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者は存在する POP チェーンに応じて、任意のファイルを削除したり、機密データを取得したり、コードを実行したりといったアクションを実行できる可能性があります。 | 7.2 |
CVE 2025-06-08 09:00:08.002454 |
| CVE-2024-13716 | WordPress 用 Forex Calculators プラグインは、1.3.5 までのすべてのバージョンにおいて ajax_settings_callback() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がプラグインの設定を更新することが可能になります。 | 4.3 |
CVE 2025-06-08 09:00:08.001686 |
| CVE-2024-13638 | WordPress 用 WooCommerce プラグイン Order Attachments for WooCommerce には、2.5.1 までのすべてのバージョンにおいて、'uploads' ディレクトリを経由した Sensitive Information Exposure の脆弱性があります。これにより、認証されていない攻撃者が、注文に追加された添付ファイルを含む /wp-content/uploads ディレクトリに安全に保存されていない機密データを抽出することが可能になります。 | 5.9 |
CVE 2025-06-08 09:00:08.000853 |
| CVE-2024-13469 | WordPress の Pricing Table by PickPlugins プラグインは、1.12.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ボタンリンクを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 09:00:07.998032 |
| CVE-2025-1572 | WordPress 用の KiviCare - Clinic & Patient Management System (EHR) プラグインは、3.6.7 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリに十分な準備がないため、'u_id' パラメータ経由で SQL インジェクションを受ける脆弱性があります。 これにより、ドクターレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能なSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-06-08 03:00:05.158564 |
| CVE-2025-1571 | Exclusive Addons for Elementor plugin for WordPress は、2.7.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Animated Text および Image Comparison Widgets を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 03:00:05.157764 |
| CVE-2025-1405 | WordPress 用の Product Catalog Simple プラグインは、1.7.11 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの show_products ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 03:00:05.156847 |
| CVE-2025-0764 | WordPress 用 wpForo Forum プラグインは、2.4.1 までのすべてのバージョンにおいて、'Members' クラスの 'update' メソッドにおける入力検証が不十分なため、任意のファイルを読み取られる脆弱性があります。このため、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、サーバ上の任意のファイルを読み取ることが可能です。 | 6.5 |
CVE 2025-06-08 03:00:05.155769 |
| CVE-2025-1513 | WordPress 用の Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery - Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons プラグインは、入力のサニタイズと出力のエスケープが不十分なため、26.0.0.1 までのすべてのバージョンにおいて、フォトギャラリーエントリーにコメントする際に Name と Comment フィールドを経由する Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-06-08 03:00:05.154932 |
| CVE-2025-1511 | WordPress 用の User Registration & Membership - Custom Registration Form, Login Form, User Profile プラグインは、4.0.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、's' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-06-08 03:00:05.154115 |
| CVE-2025-1506 | WordPress 用 Wp Social Login and Register Social Counter プラグインは、3.1.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは counter_access_key_setup() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、ソーシャル・ログイン・プロバイダの設定を更新することが可能になります。 | 4.3 |
CVE 2025-06-08 03:00:05.152980 |
| CVE-2024-12820 | WordPress 用 MK Google Directions プラグインは、3.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'MKGD' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 03:00:05.152270 |
| CVE-2025-1757 | WordPress の Portfolio Builder - Portfolio Gallery プラグインは、1.1.7 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分なため、プラグインの 'pfhub_portfolio' および 'pfhub_portfolio_portfolio' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-06-08 03:00:05.151534 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.