WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13660 | WordPress 用の Responsive Flickr Slideshow プラグインは、2.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'fshow' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.908266 |
| CVE-2024-13657 | WordPress用のStore Locator Widgetプラグインは、20200131までの全てのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの'storelocatorwidget'ショートコードを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.907092 |
| CVE-2024-13592 | WordPress 用 Team Builder For WPBakery Page Builder (Formerly Visual Composer) プラグインは、1.0 までのすべてのバージョンにおいて、'team-builder-vc' ショートコードを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これは、アクセス制御を迂回したり、機密データを取得したり、画像や他の「安全な」ファイルタイプをアップロードしてインクルードできる場合にコード実行を実現するために使用できます。 | 7.5 |
CVE 2025-05-30 03:00:05.905814 |
| CVE-2024-13591 | WordPress 用 Team Builder For WPBakery Page Builder (Formerly Visual Composer) プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分なため、プラグインの 'team-builder-vc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.905022 |
| CVE-2024-13589 | WordPress 用 YouTube Playlists with Schema プラグインは、2.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'yt_grid' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.903699 |
| CVE-2024-13468 | WordPress 用 Trash Duplicate and 301 Redirect プラグインは、1.9 までのすべてのバージョンにおいて、'duplicates-action-top' アクションの機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、認証されていない攻撃者が任意の投稿/ページを削除することが可能になります。 | 7.5 |
CVE 2025-05-30 03:00:05.902650 |
| CVE-2024-13462 | WordPress 用 WP Wiki Tooltip プラグインは、2.0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wiki' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.901774 |
| CVE-2024-13405 | WordPress 用 Apptivo Business Site CRM プラグインは、5.3 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'awp_ip_deny' ページの nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して IP アドレスをブロックすることが可能になります。 | 4.3 |
CVE 2025-05-30 03:00:05.900527 |
| CVE-2024-13390 | ADFO - Custom data in admin dashboard plugin for WordPress は、1.9.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'adfo_list' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.898122 |
| CVE-2024-12522 | Yay!Forms | Embed Custom Forms, Surveys, and Quizzes Easily plugin for WordPress は、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'yayforms' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.897230 |
| CVE-2024-12339 | WordPress 用 Digihood HTML Sitemap プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.1.1 までのすべてのバージョンにおいて、'channel' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.895919 |
| CVE-2024-12069 | WordPress 用 Lexicata プラグインは、1.0.16 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、特別に細工されたリンクをクリックするなどのアクションをユーザーに実行させることに成功した場合、実行する任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.895000 |
| CVE-2024-11778 | WordPress 用 CanadaHelps Embedded Donation Form プラグインは、1.0.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'embedcdn' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.893766 |
| CVE-2024-11753 | WordPress 用の UMich OIDC Login プラグインは、1.2.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'umich_oidc_button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.892314 |
| CVE-2024-11335 | WordPress 用プラグイン UltraEmbed - Advanced Iframe Plugin For WordPress with Gutenberg Block Included は、1.0.3 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'iframe' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.891006 |
| CVE-2025-1065 | Visualizer:Visualizer: Tables and Charts Manager for WordPress plugin for WordPress には、3.11.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの Import Data From File 機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.889655 |
| CVE-2024-13799 | User Private Files - File Upload & Download Manager with Secure File Sharing plugin for WordPress は、2.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'new-fldr-name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.888462 |
| CVE-2024-12173 | 3.10.5以前のMaster Slider WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、Editor以上のような高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-05-30 03:00:05.887670 |
| CVE-2025-1441 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.7.1007 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'wpr_filter_woo_products' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.886821 |
| CVE-2024-13443 | WordPress 用 Easypromos Plugin プラグインは、1.3.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Easypromos ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.885534 |
| CVE-2024-11582 | Subscribe2 - Form, Email Subscribers & Newsletters plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、10.43 までのすべてのバージョンにおいて ip パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-05-30 03:00:05.881443 |
| CVE-2024-13508 | WordPress 用 Booking Package プラグインは入力のサニタイズと出力のエスケープが不十分なため、1.6.72 までのすべてのバージョンにおいて locale パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-29 23:00:10.295980 |
| CVE-2024-13743 | WordPress 用 Wonder Video Embed プラグインは、2.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wonderplugin_video ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-29 23:00:10.290816 |
| CVE-2025-27013 | EPC MediCenter - Health Medical Clinic WordPress Theme の Missing Authorization 脆弱性により、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は MediCenter - Health Medical Clinic WordPress Theme: n/a から n/a に影響します。 | 5.3 |
CVE 2025-05-29 09:00:03.202385 |
| CVE-2024-13689 | WordPress 用 Uncode Core プラグインは、2.9.1.6 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 6.3 |
CVE 2025-05-29 09:00:03.201805 |
| CVE-2025-0817 | WordPress 用 FormCraft プラグインは、3.9.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトを、認証されていない攻撃者がページに注入することが可能になります。 | 7.2 |
CVE 2025-05-29 09:00:03.201106 |
| CVE-2025-0521 | WordPress 用 Post SMTP プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.0.2 までのすべてのバージョンにおいて、from および subject パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-05-29 09:00:03.200408 |
| CVE-2024-13797 | PressMart - Modern Elementor WooCommerce WordPress Theme は、1.2.16 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-05-29 09:00:03.199563 |
| CVE-2024-13783 | WordPress 用 FormCraft プラグインは、3.9.11 までのすべてのバージョンにおいて formcraft-main.php の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、フォーム送信から機密情報を含む可能性のあるプラグインデータをすべてエクスポートすることが可能です。 | 4.3 |
CVE 2025-05-29 09:00:03.198934 |
| CVE-2024-13691 | WordPress 用 Uncode テーマは、2.9.1.6 までのすべてのバージョンにおいて、'uncode_recordMedia' 関数の入力検証の不備により、任意のファイルを読み取られる脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルを読み取ることが可能です。 | 6.5 |
CVE 2025-05-29 09:00:03.198154 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.