見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-46074 | Unauth.Borbis Media FreshMail For WordPress プラグイン <= 2.3.2 バージョンにクロスサイトスクリプティング (XSS) の脆弱性が反映されました。 | 6.1 |
CVE 2024-02-03 09:00:08.132464 |
CVE-2023-5798 | 1.4.4より前のAssistant WordPressプラグインでは、wp_remote_get()を介してパラメータにリクエストを行う前にパラメータを検証しないため、Editor程度のロールを持つユーザーにSSRF攻撃を実行される可能性がある。 | 8.8 |
CVE 2024-02-03 09:00:08.129647 |
CVE-2023-5745 | WordPress 用 Reusable Text Blocks プラグインは、1.5.3 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'text-blocks' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、作者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.139367 |
CVE-2023-5744 | WordPress 用の Very Simple Google Maps プラグインは、2.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'vsgmap' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.138701 |
CVE-2023-5740 | WordPress 用 Live Chat with Facebook Messenger プラグインは、1.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'messenger' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.137904 |
CVE-2023-5311 | WordPress 用 WP EXtra プラグインは、6.2 までのバージョンで register() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のパーミッションを持つ認証済みの攻撃者が、サイトのルートディレクトリまたは/wp-contentフォルダと/wp-includesフォルダにある.htaccessファイルの内容を変更し、リモートでコードを実行することが可能になります。 | 8.8 |
CVE 2024-02-02 09:00:10.137177 |
CVE-2023-5127 | WordPress 用 WP Font Awesome プラグインは、1.7.9 までのバージョンにおいて、ユーザが指定した 'icon' 属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.136548 |
CVE-2023-5126 | WordPress 用 Delete Me プラグインは、3.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'plugin_delete_me' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。このショートコードは管理者には表示されないため、管理者ユーザに対して使用することはできません。 | 5.4 |
CVE 2024-02-02 09:00:10.135857 |
CVE-2023-5110 | WordPress 用 BSK PDF Manager プラグインは、3.4.1 までのバージョンにおいて、入力のサニタイズとユーザが与えた属性に対する出力のエスケープが不十分なため、'bsk-pdfm-category-dropdown' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.135209 |
CVE-2023-5085 | WordPress 用 Advanced Menu Widget プラグインは、0.4.1 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'advMenu' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-02-02 09:00:10.134531 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.