見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2020-15364 | WordPress用テーマ1.7までのNexosでは、top-map/?search_location=が反映されたXSSを利用することができます。 | 6.1 |
CVE 2023-12-17 23:00:06.418478 |
CVE-2022-1005 | 13.2.2 以前の WP Statistics WordPress プラグインは、REQUEST_URI パラメータをレンダリングページに出力する前にサニタイズしないため、文字をエンコードしないウェブブラウザでクロスサイトスクリプティング(XSS)を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-17 09:00:05.468972 |
CVE-2022-1532 | 1.3.8 以前の Themify WordPress プラグインは、管理ページで属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-17 03:00:08.765426 |
CVE-2022-1724 | 4.1.1 以前の Simple Membership WordPress プラグインは、AJAX アクションで出力する前にパラメータを適切にサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-16 23:00:05.217272 |
CVE-2022-1604 | 1.5.4 以前の MailerLite WordPress プラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-16 09:00:07.745662 |
CVE-2022-2173 | Advanced Database Cleaner WordPress プラグイン 3.1.1 以前では、管理者ダッシュボードページの href 属性に出力する前に多数の生成 URL をエスケープしないため、反射型クロスサイトスクリプティングが発生する。 | 6.1 |
CVE 2023-12-16 03:00:06.531925 |
CVE-2021-24349 | この Gallery from files WordPress プラグイン 1.6.0 を使用すると、画像をサーバーにアップロードする機能が提供されます。しかし、ファイル名が無効な拡張子を持つ場合、エラーメッセージに出力される前に適切にサニタイズされないため、クロスサイトスクリプティングの問題が反映されることになります。CSRF チェックがないため、このようなベクトルによる攻撃も可能です。 | 6.1 |
CVE 2023-12-15 23:00:06.314815 |
CVE-2022-29408 | Vsourz Digital の Advanced Contact form 7 DB プラグイン <= 1.8.7 at WordPress に持続的なクロスサイトスクリプティング (XSS) の脆弱性が存在します。 | 6.1 |
CVE 2023-12-15 09:00:09.067536 |
CVE-2018-11105 | WordPress 8.0.08 以前の wp-live-chat-support プラグインには、悪意のある攻撃者が管理者との新しいチャットを開始するたびに、wp-json/wp_live_chat_support/v1/start_chat の "name" (aka wplc_name) と "email" (aka wplc_email) 入力フィールドを介して保存されたクロスサイトスクリプティングがあります。注意:この問題は、CVE-2018-9864の修正が不完全であるために存在します。 | 6.1 |
CVE 2023-12-15 03:00:09.909284 |
CVE-2022-0346 | 2.0.4 以前の XML Sitemap Generator for Google WordPress プラグインは、任意の値を設定できるパラメータを検証しないため、allow_url_include がオンになっているとエラーメッセージ経由の XSS や RCE を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-14 23:00:06.171985 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.