WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (1660)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2023-4388 2.2以前のEventON WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-01-24 09:00:11.285497
CVE-2023-4290 2.1.7 より前の WP Matterport Shortcode WordPress プラグインは、PHP_SELF サーバー変数を属性で出力する際にエスケープしておらず、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングの問題を引き起こしていました。 6.1 CVE
2024-01-24 09:00:11.284853
CVE-2023-4289 2.1.8より前のWP Matterport Shortcode WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 5.4 CVE
2024-01-24 09:00:11.284177
CVE-2023-3746 1.0.0より前のActivityPub WordPressプラグインは、投稿内容の一部のデータをサニタイズおよびエスケープしていないため、投稿者以上のロールがストアドクロスサイトスクリプティング攻撃を行う可能性があります。 5.4 CVE
2024-01-24 09:00:11.283466
CVE-2023-3707 1.0.0以前のActivityPub WordPressプラグインでは、表示される投稿内容がプラグインに属するパブリックなものであることが保証されていないため、購読者などの認証済みユーザーであればIDORベクトル経由で任意の投稿(下書きや非公開など)の内容を取得することができます。パスワードで保護された投稿はこの問題の影響を受けません。 4.3 CVE
2024-01-24 09:00:11.282760
CVE-2023-3706 1.0.0より前のActivityPub WordPressプラグインは、表示される投稿タイトルがプラグインに属するパブリックなものであることを保証していないため、購読者のような認証されたユーザーであれば、IDORベクトル経由で任意の投稿タイトル(下書きや非公開など)を取得することができます。 4.3 CVE
2024-01-24 09:00:11.281851
CVE-2023-3279 3.39以前のWordPress Gallery Pluginプラグインは、インクルード関数/秒に渡されるパスを生成するためにそれらを使用する前に、いくつかのブロック属性を検証しないため、管理者ユーザーがLFI攻撃を実行することができます。 4.9 CVE
2024-01-24 09:00:11.281099
CVE-2023-45831 Pixelative, Mohsin Rafique AMP WP - Google AMP For WordPress プラグイン <= 1.5.15 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-24 09:00:11.278354
CVE-2023-4827 1.8 より前の File Manager Pro WordPress プラグインは、`fs_connector` AJAX アクションの CSRF nonce を適切にチェックしていません。このため、攻撃者は GET リクエストを使用することで、高度な特権を持つユーザーに CSRF 攻撃による不要なファイルシステムのアクション (ウェブシェルのアップロードなど) を実行させることができます。 8.8 CVE
2024-01-24 09:00:11.277460
CVE-2023-4620 9.7.3.1以前のBooking Calendar WordPressプラグインは、予約データの一部をサニタイズおよびエスケープしていないため、認証されていないユーザーが管理者に対してストアドクロスサイトスクリプティング攻撃を行う可能性があります。 6.1 CVE
2024-01-24 09:00:11.276592
CVE-2015-10125 WordPressのWP Ultimate CSV Importer Plugin 3.7.2に問題とされる脆弱性が発見されました。これは未知の部分に影響します。この操作はクロスサイトリクエストフォージェリにつながります。リモートから攻撃を開始することが可能です。バージョン 3.7.3 にアップグレードすることで、この問題に対処できます。パッチの識別子は 13c30af721d3f989caac72dd0f56cf0dc40fad7e です。影響を受けるコンポーネントをアップグレードすることを推奨します。この脆弱性には、識別子 VDB-241317 が割り当てられています。 8.8 CVE
2024-01-23 03:00:04.061407
CVE-2023-1259 WordPress用Hotjarプラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.0.15までのバージョンにおいて、hotjar_site_idを経由した蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、管理者レベル以上の権限を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 5.5 CVE
2024-01-22 09:00:04.408701
CVE-2023-4995 WordPress 用 Embed Calendly プラグインは、3.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'calendly' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-21 09:00:04.434058
CVE-2023-39999 6.3から6.3.1まで、6.2から6.2.2まで、6.1から6.13まで、6.0から6.0.5まで、5.9から5.9.7まで、5.8から5.8.7まで、5.7から5.7.9まで、5.6から5.6.11まで、5.5から5.5.12まで、5.4から5.4.13まで、5.3から5.3.15まで、5.2から5.2.18まで、5.1から5.1.16まで、5.0から5.0.19まで、4.9から4.9.23まで、4.8から4.8.22まで、4.7から4.7.26、4.6から4.6.26まで、4.5から4.5.29まで、4.4から4.4.30まで、4.3から4.3.31まで、4.2から4.2.35まで、4.1から4.1.38まで。 4.3 CVE
2024-01-21 09:00:04.433151
CVE-2023-38000 Auth.Stored (contributor+) Cross-Site Scripting (XSS) の脆弱性 (WordPress core 6.3 から 6.3.1、6.2から 6.2.2、6.1から 6.1.3、6.0 から 6.0.5、5.9 から 5.9.7、および Gutenberg プラグイン <= 16.8.0 バージョン)。 5.4 CVE
2024-01-21 09:00:04.430496
CVE-2023-41131 Jonk @ Follow me Darling Sp*tify Play Button for WordPress プラグイン <= 2.10 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-20 09:00:05.333307
CVE-2023-5470 WordPress 用 Etsy Shop プラグインは、3.0.4 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'etsy-shop' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-20 03:00:04.069423
CVE-2023-5531 WordPress 用 Thumbnail Slider With Lightbox プラグインは、1.0 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは削除機能における nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用して画像のライトボックスを削除することが可能になります。 4.3 CVE
2024-01-20 03:00:04.066301
CVE-2023-41694 Realbig Team Realbig For WordPress プラグイン <= 1.0.3 バージョンに CSRF (Cross-Site Request Forgery) 脆弱性が存在します。 8.8 CVE
2024-01-18 03:00:04.696205
CVE-2023-5468 WordPress 用 Slick Contact Forms プラグインは、1.3.7 までのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 'dcscf-link' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-18 03:00:04.694862
CVE-2023-5467 WordPress 用プラグイン GEO my WordPress には、4.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-18 03:00:04.691810
CVE-2023-44233 FooPlugins Best WordPress Gallery Plugin - FooGallery プラグイン <= 2.2.44 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-14 09:00:04.708912
CVE-2023-4469 WordPress 用の Profile Extra Fields by BestWebSoft プラグインは、1.2.7 までのバージョンで prflxtrflds_export_file 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が、カスタムフィールドに入力されたデータを含む、潜在的にセンシティブなユーザーデータを公開する可能性があります。 5.3 CVE
2024-01-14 09:00:04.705882
CVE-2015-10126 WordPressのEasy2Map Photos Plugin 1.0.1に致命的な脆弱性が発見されました。この脆弱性は未知のコードに影響します。この操作はSQLインジェクションにつながります。攻撃はリモートから開始できます。バージョン1.1.0にアップグレードすることでこの問題に対処できます。パッチは 503d9ee2482d27c065f78d9546f076a406189908 として特定されています。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241318 は、この脆弱性に割り当てられた識別子です。 9.8 CVE
2024-01-14 03:00:06.083818
CVE-2023-37996 GTmetrix GTmetrix for WordPress プラグイン <= 0.4.7 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 8.8 CVE
2024-01-13 23:00:04.485875
CVE-2023-37992 PressPage Entertainment Inc.のWordPressプラグインにクロスサイトリクエストフォージェリ(CSRF)の脆弱性。Smarty for WordPress プラグイン <= 3.1.35 バージョン。 8.8 CVE
2024-01-13 09:00:04.957968
CVE-2023-5357 WordPress 用 Instagram for WordPress プラグインは、2.1.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-11 23:00:04.955353
CVE-2023-5291 WordPress 用 Blog Filter プラグインは、1.5.3 までのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、'AWL-BlogFilter' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-01-11 23:00:04.954553
CVE-2023-3213 WordPress 用 WP Mail SMTP Pro プラグインは、3.8.0 までのバージョンにおいて、is_print_page 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者が潜在的にセンシティブなメール情報を開示する可能性があります。 5.3 CVE
2024-01-11 23:00:04.951947
CVE-2023-5334 WordPress 用 WP Responsive ヘッダー画像スライダープラグインは、3.2.1 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'sp_responsiveslider' ショートコードを介した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 5.4 CVE
2024-01-10 23:00:03.915663
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] (1660)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.