見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-46152 | realmag777 WOLF - WordPress Posts Bulk Editor and Manager Professional プラグイン <= 1.0.7.1 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2024-02-02 09:00:10.133897 |
CVE-2023-46068 | (admin+) XQueue GmbH Maileon for WordPress プラグイン <= 2.16.0 バージョンに、保存されたクロスサイトスクリプティング (XSS) の脆弱性。 | 4.8 |
CVE 2024-02-02 09:00:10.133206 |
CVE-2023-45829 | HappyBox Newsletter & Bulk Email Sender - Email Newsletter Plugin for WordPress plugin <= 2.0.1 versions.に、Auth. (contributor+) Stored Cross-Site Scripting (XSS) の脆弱性が存在します。 | 5.4 |
CVE 2024-02-02 09:00:10.132502 |
CVE-2023-45640 | TechnoWich WP ULike - Most Advanced WordPress Marketing Toolkit プラグイン <= 4.6.8 バージョン> に、Auth. (contributor+) Stored Cross-Site Scripting (XSS) の脆弱性。 | 5.4 |
CVE 2024-02-02 09:00:10.130098 |
CVE-2023-5205 | WordPress 用 Add Custom Body Class プラグインは、1.4.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'add_custom_body_class' 値を経由した Stored Cross-Site Scripting の脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-29 03:00:05.241877 |
CVE-2023-4939 | WordPress用のSALESmanagoプラグインは、3.2.4までのバージョンでログインジェクションの脆弱性があります。これは、/wp-json/salesmanago/v1/callbackApiV3 APIエンドポイントに弱い認証トークンを使用しているためです。この認証トークンは、ウェブサイトのページソースにあるサイトURLとクライアントIDの単なるSHA1ハッシュです。これにより、認証されていない攻撃者がログファイルに任意のコンテンツを注入することが可能になり、別の脆弱性と組み合わせると、重大な結果を招く可能性があります。 | 5.3 |
CVE 2024-01-29 03:00:05.240969 |
CVE-2023-4635 | WordPress 用 EventON プラグインには、入力のサニタイズと出力のエスケープが不十分なため、2.2.2 までのバージョンにおいて、「tab」パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2024-01-29 03:00:05.238349 |
CVE-2023-3965 | WordPress 用 nsc テーマには、入力のサニタイズと出力のエスケープが不十分なため、1.0 までのバージョンにおいて、プロトタイプ汚染を介した反射型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-01-28 09:00:03.830260 |
CVE-2023-3962 | WordPress 用テーマ Winters には、入力のサニタイズと出力のエスケープが不十分なため、1.4.3 までのバージョンにおいて、プロトタイプ汚染を経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、任意のウェブスクリプトをページ内に注入することが可能です。 | 6.1 |
CVE 2024-01-28 09:00:03.829555 |
CVE-2023-3933 | WordPress 用テーマ Your Journey には、入力のサニタイズと出力のエスケープが不十分なため、1.9.8 までのバージョンにおいて、プロトタイプ汚染を経由した反射型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-01-28 09:00:03.828756 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.