WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-45831 | Pixelative, Mohsin Rafique AMP WP - Google AMP For WordPress プラグイン <= 1.5.15 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2024-01-24 09:00:11.278354 |
| CVE-2023-4827 | 1.8 より前の File Manager Pro WordPress プラグインは、`fs_connector` AJAX アクションの CSRF nonce を適切にチェックしていません。このため、攻撃者は GET リクエストを使用することで、高度な特権を持つユーザーに CSRF 攻撃による不要なファイルシステムのアクション (ウェブシェルのアップロードなど) を実行させることができます。 | 8.8 |
CVE 2024-01-24 09:00:11.277460 |
| CVE-2023-4620 | 9.7.3.1以前のBooking Calendar WordPressプラグインは、予約データの一部をサニタイズおよびエスケープしていないため、認証されていないユーザーが管理者に対してストアドクロスサイトスクリプティング攻撃を行う可能性があります。 | 6.1 |
CVE 2024-01-24 09:00:11.276592 |
| CVE-2015-10125 | WordPressのWP Ultimate CSV Importer Plugin 3.7.2に問題とされる脆弱性が発見されました。これは未知の部分に影響します。この操作はクロスサイトリクエストフォージェリにつながります。リモートから攻撃を開始することが可能です。バージョン 3.7.3 にアップグレードすることで、この問題に対処できます。パッチの識別子は 13c30af721d3f989caac72dd0f56cf0dc40fad7e です。影響を受けるコンポーネントをアップグレードすることを推奨します。この脆弱性には、識別子 VDB-241317 が割り当てられています。 | 8.8 |
CVE 2024-01-23 03:00:04.061407 |
| CVE-2023-1259 | WordPress用Hotjarプラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.0.15までのバージョンにおいて、hotjar_site_idを経由した蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、管理者レベル以上の権限を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2024-01-22 09:00:04.408701 |
| CVE-2023-4995 | WordPress 用 Embed Calendly プラグインは、3.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'calendly' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-21 09:00:04.434058 |
| CVE-2023-39999 | 6.3から6.3.1まで、6.2から6.2.2まで、6.1から6.13まで、6.0から6.0.5まで、5.9から5.9.7まで、5.8から5.8.7まで、5.7から5.7.9まで、5.6から5.6.11まで、5.5から5.5.12まで、5.4から5.4.13まで、5.3から5.3.15まで、5.2から5.2.18まで、5.1から5.1.16まで、5.0から5.0.19まで、4.9から4.9.23まで、4.8から4.8.22まで、4.7から4.7.26、4.6から4.6.26まで、4.5から4.5.29まで、4.4から4.4.30まで、4.3から4.3.31まで、4.2から4.2.35まで、4.1から4.1.38まで。 | 4.3 |
CVE 2024-01-21 09:00:04.433151 |
| CVE-2023-38000 | Auth.Stored (contributor+) Cross-Site Scripting (XSS) の脆弱性 (WordPress core 6.3 から 6.3.1、6.2から 6.2.2、6.1から 6.1.3、6.0 から 6.0.5、5.9 から 5.9.7、および Gutenberg プラグイン <= 16.8.0 バージョン)。 | 5.4 |
CVE 2024-01-21 09:00:04.430496 |
| CVE-2023-41131 | Jonk @ Follow me Darling Sp*tify Play Button for WordPress プラグイン <= 2.10 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2024-01-20 09:00:05.333307 |
| CVE-2023-5470 | WordPress 用 Etsy Shop プラグインは、3.0.4 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'etsy-shop' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-20 03:00:04.069423 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.