WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-4799 | 3.1.2以前のMagic Embeds WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコード属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.4 |
CVE 2024-02-28 09:00:25.460476 |
| CVE-2023-48300 | 埋め込み外部コンテンツの読み込みを防止する WordPress 用の `Embed Privacy` プラグインは、1.8.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、`embed_privacy_opt_out` ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。バージョン1.8.1にはこの問題に対するパッチが含まれています。 | 5.4 |
CVE 2024-02-28 09:00:25.459823 |
| CVE-2023-6197 | WordPress 用 Audio Merchant プラグインには、5.0.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、audio_merchant_save_settings 関数における nonce バリデーションの欠落または不正確さが原因です。これにより、認証されていない攻撃者がプラグインの設定を変更し、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 5.4 |
CVE 2024-02-28 09:00:25.459184 |
| CVE-2023-6196 | WordPress 用 Audio Merchant プラグインには、5.0.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、関数 audio_merchant_add_audio_file における nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、 偽装されたリクエストを経由して任意のファイルをアップロードすることが可能になります。 | 8.8 |
CVE 2024-02-28 09:00:25.456964 |
| CVE-2023-4861 | File Manager Pro WordPress プラグイン 1.8.1 より前のバージョンでは、マルチサイトインストールのような、そのようなユーザーがサーバーを完全に制御できないはずの環境であっても、管理者ユーザーが任意のファイルをアップロードできるようになっています。これはリモートでのコード実行につながります。 | 7.2 |
CVE 2024-02-27 23:00:07.030759 |
| CVE-2023-4691 | 22.4 より前の WordPress Online Booking and Scheduling Plugin プラグインでは、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープが行われないため、管理者などの高権限ユーザーが悪用可能な SQL インジェクションが発生します。 | 7.2 |
CVE 2024-02-27 09:00:20.280379 |
| CVE-2023-3155 | 3.39 以前の WordPress Gallery Plugin プラグインには、`gallery_edit` 関数における入力パラメータの検証の欠如により、攻撃者がサーバー上の任意のリソースにアクセスすることを許す、任意のファイルの読み取りと削除の脆弱性があります。 | 7.2 |
CVE 2024-02-27 03:00:07.561107 |
| CVE-2023-41129 | この問題は Patreon WordPress の n/a から 1.8.6 までのバージョンに影響します。 | 8.8 |
CVE 2024-02-26 23:00:04.279794 |
| CVE-2023-25985 | この問題は、n/a から 8.2.5 までの WordPress Tooltips に影響します。 | 8.8 |
CVE 2024-02-26 23:00:04.276974 |
| CVE-2023-3392 | 3.2.7以前のRead More & Accordion WordPressプラグインは、設定経由で提供されたユーザー入力をシリアライズしないため、適切なガジェットが存在する場合に、管理者などの高特権ユーザーがPHPオブジェクトインジェクションを実行できる可能性があります。 | 7.2 |
CVE 2024-02-26 09:00:18.011184 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.