見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-5360 | 1.3.79以前のRoyal Elementor Addons and Templates WordPressプラグインは、アップロードされたファイルを適切に検証しないため、認証されていないユーザーがPHPなどの任意のファイルをアップロードし、RCEを達成できる可能性があります。 | 9.8 |
CVE 2024-02-08 09:00:10.148320 |
CVE-2023-5307 | 21.2.8.1以前のPhotos and Files Contest Gallery WordPressプラグインは、一部のパラメータをサニタイズおよびエスケープしていないため、認証されていないユーザーが特定のヘッダを介してクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2024-02-08 09:00:10.147616 |
CVE-2023-5243 | 3.5.2までのLogin Screen Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高特権ユーザーにストアドクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 4.8 |
CVE 2024-02-08 09:00:10.146997 |
CVE-2023-5238 | 3.2.0以前のEventPrime WordPressプラグインは、パラメータをページに出力する前にサニタイズおよびエスケープを行わないため、ウェブサイトの検索エリアにあるプラグイン上でHTMLインジェクションが発生します。 | 6.1 |
CVE 2024-02-08 09:00:10.146428 |
CVE-2023-5237 | 1.3.9より前のMemberlite Shortcodes WordPressプラグインは、ページに出力する前にショートコード属性のバリデーションとエスケープを行わないため、contributor程度のロールを持つユーザが、管理者などの高い権限を持つユーザに対して使用される可能性のあるStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 5.4 |
CVE 2024-02-08 09:00:10.145846 |
CVE-2023-5229 | 1.20.20以前のE2Pdf WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-02-08 09:00:10.145290 |
CVE-2023-5211 | Fattura24 WordPress プラグイン 6.2.8 以前のバージョンでは、'id' パラメータをページに出力する前にサニタイズまたはエスケープしていないため、クロスサイトスクリプティングの脆弱性が反映されます。 | 6.1 |
CVE 2024-02-08 09:00:10.144652 |
CVE-2023-5098 | 2.5.6以前のWordPressプラグインCampaign Monitor Forms by Optin Catは、(購読者のような)低い権限を持つユーザーがサイト上のあらゆるオプションを "true "という文字列で上書きすることを防いでおらず、DoSを含むさまざまな結果につながる可能性があります。 | 8.1 |
CVE 2024-02-08 09:00:10.144054 |
CVE-2023-4836 | 2.0.5より前のWordPressファイル共有プラグインでは、ファイルやフォルダを表示する前に認証チェックが行われないため、ブルートフォース(総当たり)されやすいIDを操作することで、それらのファイルへのアクセスを許してしまう。 | 4.3 |
CVE 2024-02-08 09:00:10.143458 |
CVE-2023-4823 | 2.2.0 より前の WP Meta and Date Remover WordPress プラグインは、プラグイン設定を構成するための AJAX エンドポイントを提供しています。このエンドポイントは能力チェックを行わず、ユーザー入力をサニタイズしないため、後にエスケープされずに出力されます。購読者のような認証されたユーザが設定を変更し、保存されたクロスサイトスクリプティングを実行することを許可します。 | 5.4 |
CVE 2024-02-08 09:00:10.142861 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.