WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] (3359)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-2335 WordPress 用 Elements Plus! プラグインには、2.16.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットリンク URL を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.106388
CVE-2024-2334 WordPress 用 Template Kit - Import プラグインは、1.0.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、テンプレートのアップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。このため、作者以上のアクセス権を持つ認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.105712
CVE-2024-2327 WordPress 用 Global Elementor Buttons プラグインは、1.1.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ボタンリンク URL を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.105043
CVE-2024-2325 WordPress 用 Link Library プラグインは、7.6.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、searchll パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-07-18 09:00:05.104443
CVE-2024-2311 WordPress 用の Avada テーマは、7.11.6 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.103865
CVE-2024-2306 WordPress 用の Revslider プラグインは、6.6.20 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、svg アップロード経由の Stored クロスサイトスクリプティングの脆弱性があります。これにより、認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。デフォルトでは、これは管理者のみが悪用可能ですが、revslider の使用と設定の能力を作者に拡張することができます。 6.4 CVE
2024-07-18 09:00:05.103249
CVE-2024-2305 WordPress 用 Cards for Beaver Builder プラグインは、1.1.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、BootstrapCard リンクを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.102525
CVE-2024-2302 WordPress 用 Easy Digital Downloads - Sell Digital Files & Subscriptions (eCommerce Store + Payments Made Easy) プラグインは、3.2.9 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が Directory Listing 経由でデバッグログをダウンロードすることが可能になります。このファイルには PII が含まれている可能性があります。 5.3 CVE
2024-07-18 09:00:05.101893
CVE-2024-2289 WordPress 用 Beaver Builder プラグイン PowerPack Lite には、1.3.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数の要素のリンクを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.101311
CVE-2024-2287 WordPress 用 Knight Lab Timeline プラグインは、3.9.3.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.100708
CVE-2024-2261 WordPress 用の Event Tickets and Registration プラグインは、5.8.2 までのすべてのバージョンにおいて、RSVP 機能を経由した Sensitive Information Exposure の脆弱性があります。これにより、contributor アクセス以上の認証された攻撃者が、電子メールや住所を含む機密データを抽出することが可能になります。 4.3 CVE
2024-07-18 09:00:05.100115
CVE-2024-2226 Otter Blocks - Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE plugin for WordPress は、2.6.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、google-map ブロックの id パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.099447
CVE-2024-2222 WordPress 用 Advanced Classifieds & Directory Pro プラグインは、3.0.0 までのすべてのバージョンにおいて、ajax_callback_delete_attachment 関数の機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。 これにより、サブスクライバアクセス以上の認証済みの攻撃者が、任意のメディアアップロードを削除することが可能になります。 4.3 CVE
2024-07-18 09:00:05.098685
CVE-2024-2200 WordPress 用 Contact Form by BestWebSoft プラグインは、4.2.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cntctfrm_contact_subject' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-07-18 09:00:05.098018
CVE-2024-2198 WordPress 用 Contact Form by BestWebSoft プラグインは、4.2.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cntctfrm_contact_address' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-07-18 09:00:05.097312
CVE-2024-2187 WordPress 用 Beaver Builder Addons by WPZOOM プラグインは、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Testimonials ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.096533
CVE-2024-2186 WordPress 用 Beaver Builder Addons by WPZOOM プラグインは、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Team Members ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.095699
CVE-2024-2185 WordPress 用 Beaver Builder Addons by WPZOOM プラグインは、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Image Box ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.094476
CVE-2024-2183 WordPress 用 Beaver Builder Addons by WPZOOM プラグインには、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Heading ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。CVE-2024-30424は、この問題と重複している可能性があります。 6.4 CVE
2024-07-18 09:00:05.093812
CVE-2024-2181 WordPress 用 Beaver Builder Addons by WPZOOM プラグインは、1.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Button ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.093188
CVE-2024-2165 SEOPress - On-site SEO plugin for WordPress は、7.5.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、画像の alt パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、認証された攻撃者(author アクセス権以上)は、任意のウェブスクリプトをページに注入することが可能であり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.092498
CVE-2024-2138 WordPress 用 JetWidgets For Elementor プラグインは、1.0.15 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Animated Box ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.091805
CVE-2024-2125 EnvíaloSimple:WordPress 用 Email Marketing y Newsletters プラグインは、2.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、gallery_add 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる付与された偽造リクエストを介して悪意のあるファイルをアップロードすることが可能になります。 8.8 CVE
2024-07-18 09:00:05.091135
CVE-2024-2117 WordPress 用 Elementor Website Builder - More than Just a Page Builder プラグインは、3.20.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する出力エスケープが不十分なため、プラグインの Path ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.090528
CVE-2024-2112 Form Maker by 10Web - Mobile-Friendly Drag & Drop Contact Form Builder プラグイン (WordPress 用) には、1.15.22 までのすべてのバージョンにおいて、署名機能を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者がユーザー署名を含む機密データを抽出することが可能になります。 5.9 CVE
2024-07-18 09:00:05.089920
CVE-2024-2081 The Best WordPress Gallery Plugin - FooGallery plugin for WordPress は、2.4.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、foogallery_attachment_modal_save アクションを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.088656
CVE-2024-2039 WordPress 用 Stackable - Page Builder Gutenberg Blocks プラグインは、3.12.11 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Post(v2) ブロックの title タグを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.087994
CVE-2024-2033 WordPress 用の Video Conferencing with Zoom プラグインは、4.4.5 までのすべてのバージョンにおいて、get_assign_host_id AJAX アクションを経由した Sensitive Information Exposure の脆弱性があります。これにより、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、サイト上のすべてのユーザのユーザ名、電子メール、ID を列挙することが可能になります。 4.3 CVE
2024-07-18 09:00:05.087380
CVE-2024-2027 Real Media Library:WordPress 用 Media Library Folder & File Manager プラグインは、4.22.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、style 属性を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.086670
CVE-2024-2026 WordPress 用 Passster プラグインは、4.2.6.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの content_protector ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.086069
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] (3359)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.