WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-31912 | gavias Enzio - Responsive Business WordPress Theme には、PHP プログラムの Include/Require ステートメントにおけるファイル名の不適切な制御(「PHP リモートファイルインクルージョン」)の脆弱性があり、PHP ローカルファイルインクルージョンが可能です。この問題は Enzio - Responsive Business WordPress Theme: n/a から 1.1.8 に影響します。 | 8.1 |
CVE 2025-09-16 09:00:11.068186 |
| CVE-2025-6814 | WordPress 用 Booking X プラグインは、バージョン 1.0 から 1.1.2 の export_now() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が細工した POST リクエストを発行することで、ユーザーアカウント、ユーザーメタ、PayPal 認証情報を含むすべてのプラグインデータをダウンロードすることが可能になります。 | 7.5 |
CVE 2025-09-16 09:00:11.067413 |
| CVE-2025-6787 | WordPress 用 Smart Docs プラグインは、1.1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'smartdocs_search' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.066723 |
| CVE-2025-6786 | WordPress 用 DocCheck Login プラグインには、1.1.5 までのすべてのバージョンにおいて、不正な投稿アクセスに対する脆弱性があります。これは、ページが読み込まれた後、プラグインがパスワードで保護された投稿にログインするようユーザーをリダイレクトすることが原因です。これにより、認証されていない攻撃者が、アクセスすべきでない投稿を読むことが可能になります。 | 5.3 |
CVE 2025-09-16 09:00:11.065885 |
| CVE-2025-6783 | WordPress 用 GoZen Forms プラグインは、emdedSc() 関数の 'forms-id' パラメータ経由で SQL インジェクションを受ける脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加の SQL クエリを、既に存在するクエリに追加することが可能になってしまいます。 | 7.5 |
CVE 2025-09-16 09:00:11.065156 |
| CVE-2025-6782 | WordPress 用 GoZen Forms プラグインは、1.1.5 までの全てのバージョンにおいて、 dirGZActiveForm() 関数の 'forms-id' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加の SQL クエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-09-16 09:00:11.064079 |
| CVE-2025-6739 | WordPress 用 WPQuiz プラグインは、0.4.2 までのすべてのバージョンにおいて、'wpquiz' ショートコードの 'id' 属性を経由した SQL インジェクションに対して脆弱です。 これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-09-16 09:00:11.063558 |
| CVE-2025-6729 | WordPress 用 WooCommerce プラグイン PayMaster には、0.4.31 までのすべてのバージョンにおいて、'wp_ajax_paym_status' AJAX アクションを経由した Server-Side Request Forgery の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に使用される可能性があります。 | 6.4 |
CVE 2025-09-16 09:00:11.063086 |
| CVE-2025-6586 | WordPress 用 Download Plugin プラグインは、2.2.8 までのすべてのバージョンにおいて、dpwap_plugin_locInstall 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-09-16 09:00:11.062548 |
| CVE-2025-6238 | WordPress 用 AI Engine プラグインは、バージョン 2.8.4 においてオープンリダイレクトの脆弱性があります。これは OAuth の実装が安全でないためで、認可フロー中に 'redirect_uri' パラメータの検証が欠落しています。このため、認証されていない攻撃者が認証コードを傍受し、攻撃者が管理する URI にユーザーをリダイレクトしてアクセストークンを取得することが可能です。注: OAuth は無効化されており、パッチが適用されたバージョン 2.8.5 では 'Meow_MWAI_Labs_OAuth' クラスはプラグインにロードされていません。 | 8.0 |
CVE 2025-09-16 09:00:11.061956 |
| CVE-2025-6041 | WordPress 用 yContributors プラグインは、0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'yContributors' ページの nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-09-16 09:00:11.060706 |
| CVE-2025-6039 | WordPress 用の ProcessingJS for WordPress プラグインは、1.2.2 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'pjs4wp' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.059944 |
| CVE-2025-5956 | WordPress 用 WP Human Resource Management プラグインは、バージョン 2.0.0 から 2.2.17 までの ajax_delete_employee() 関数内で認可が欠落しているため、任意のユーザー削除の脆弱性があります。このプラグインの削除ハンドラは、クライアントから提供された $_POST['delete'] 配列を読み込み、呼び出し元が delete_users 権限を持っているかどうかを検証したり、削除されるユーザ ID を制限したりすることなく、各 ID を直接 wp_delete_user() に渡します。このため、Employee レベル以上の認証済み攻撃者は、管理者を含む任意のアカウントを削除することが可能です。 | 6.5 |
CVE 2025-09-16 09:00:11.059411 |
| CVE-2025-5953 | WordPress 用 WP Human Resource Management プラグインは、バージョン 2.0.0 から 2.2.17 までの ajax_insert_employee() および update_empoyee() 関数で認可が欠けているため、特権昇格の脆弱性があります。AJAX ハンドラは、クライアントから提供された $_POST['role'] を読み込み、hrm_clean() で基本的なクリーニングを行った後、現在のユーザがそのロールを割り当てることを許可されているかどうかを検証することなく、直接 wp_insert_user() と $user->set_role() に渡します。これにより、Employee レベル以上のアクセス権を持つ、 認証された攻撃者が管理者に権限を昇格させることが可能となります。 | 8.8 |
CVE 2025-09-16 09:00:11.058886 |
| CVE-2025-5933 | WordPress 用 RD Contacto プラグインには、1.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、rdWappUpdateData() 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用してプラグインの設定を更新することが可能になります。 | 4.3 |
CVE 2025-09-16 09:00:11.058339 |
| CVE-2025-5924 | WordPress 用 WP Firebase Push Notification プラグインは、1.2.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wfpn_brodcast_notification_message() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、 偽のリクエストを使ってブロードキャスト通知を送ることが可能になります。 | 4.3 |
CVE 2025-09-16 09:00:11.057747 |
| CVE-2025-5567 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、7.4.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'data-url' DOM 要素属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.057229 |
| CVE-2025-5322 | WordPress 用レンタカー管理システム VikRentCar プラグインは、1.4.3 までのすべてのバージョンにおいて、do_updatecar および createcar 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-09-16 09:00:11.056681 |
| CVE-2025-5961 | Migration, Backup, Staging - WPvivid Backup & Migration plugin for WordPress は、0.9.116 までのすべてのバージョンにおいて、'wpvivid_upload_import_files' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。注意: アップロードされたファイルは、NGINX ウェブサーバー上で実行されている WordPress インスタンス上でのみアクセス可能です。これは、ターゲットファイルアップロードフォルダー内の既存の .htaccess が Apache サーバー上でのアクセスを妨げているためです。 | 7.2 |
CVE 2025-09-16 09:00:11.055710 |
| CVE-2025-2932 | WordPress 用 JKDEVKIT プラグインは、1.9.4 までのすべてのバージョンにおいて、'font_upload_handler' 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。WooCommerce が有効な場合、攻撃者はコントリビュータレベル以上のアクセスを必要とします。 | 8.8 |
CVE 2025-09-16 09:00:11.055131 |
| CVE-2025-2537 | WordPress 用の複数のプラグインには、様々なバージョンにおいて、プラグインにバンドルされている ThickBox JavaScript ライブラリ (バージョン 3.1) を経由した Stored Cross-Site Scripting の脆弱性があり、これはユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.053951 |
| CVE-2025-2540 | WordPress 用の複数のプラグインは、様々なバージョンにおいて、プラグインにバンドルされている prettyPhoto ライブラリ(バージョン 3.1.6)を経由した Stored Cross-Site Scripting に対して、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.052318 |
| CVE-2024-5647 | WordPress 用の複数のプラグインには、様々なバージョンにおいて、プラグインにバンドルされている Magnific Popups ライブラリ(バージョン 1.1.0)を経由した Stored Cross-Site Scripting の脆弱性があり、これはユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性は、アップストリームライブラリ(Magnific Popups version 1.2.0)では、デフォルトで特定のフィールド内のHTMLの読み込みを無効にすることで修正されています。 | 6.4 |
CVE 2025-09-16 09:00:11.050932 |
| CVE-2024-9017 | WordPress 用 PeepSo Core:WordPress 用 Groups プラグインは、6.4.6.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Group Description フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-09-16 09:00:11.047825 |
| CVE-2025-5944 | WordPress 用 Elementor プラグイン Element Pack Addons には、8.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'data-caption' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.046828 |
| CVE-2025-4946 | WordPress 用テーマ Vikinger には、1.9.32 までのすべてのバージョンにおいて、 vikinger_delete_activity_media_ajax() 関数におけるファイルパスの検証が不十分なため、 任意のファイルを削除される脆弱性があります。これにより、Subscriberレベル以上のアクセス権を持つ、認証された攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.phpなど)が削除された場合、容易にリモートでコードが実行される可能性があります。注意: Vikinger Mediaプラグインがインストールされ、有効になっている必要があります。 | 8.1 |
CVE 2025-09-16 09:00:11.046307 |
| CVE-2025-2330 | WordPress 用 All-in-One Addons for Elementor - WidgetKit プラグインは、2.5.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの 'button+modal' ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-09-16 09:00:11.045706 |
| CVE-2024-13786 | WordPress 用の education テーマには、3.6.10 までのすべてのバージョンにおいて、 'themerex_callback_view_more_posts' 関数内で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP Object を注入することが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響を与えません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、機密データを取得したり、存在する POP チェーンに応じてコードを実行したりといったアクションを実行できる可能性があります。 | 9.8 |
CVE 2025-09-16 09:00:11.044975 |
| CVE-2025-6464 | Forminator Forms - WordPress 用のコンタクトフォーム、支払いフォーム、カスタムフォームビルダー プラグインは、1.44.2 までのすべてのバージョンにおいて、'entry_delete_upload_files' 関数内で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHAR ファイルを通して PHP オブジェクトをインジェクションすることが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、 POP チェーンを含む他のプラグインやテーマがサイトにインストールされていない限り、 この脆弱性の影響はありません。もし POP チェーンが、ターゲットシステムにインストールされた追加のプラグインやテーマを通して存在すると、攻撃者は、存在する POP チェーンに応じて、任意のファイルを削除したり、機密データを取得したり、コードを実行したりといったアクションを実行できるようになるかもしれません。デシリアライズは、管理者によって、あるいはプラグインの設定によって決定された自動削除によって、フォーム送信が削除されるときに発生します。 | 7.5 |
CVE 2025-09-16 09:00:11.042079 |
| CVE-2024-13451 | Bit Form の Contact Form:WordPress 用の Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder プラグインは、2.17.4 までのすべてのバージョンにおいて、ディレクトリの一覧表示防止が不十分でファイル名がランダム化されていないため、ファイルアップロード経由で機密情報が漏洩する脆弱性があります。これにより、認証されていない攻撃者が、フォーム経由でアップロードされたファイルを含む機密データを抽出することが可能になります。この脆弱性はバージョン2.17.5で部分的に修正されました。 | 5.3 |
CVE 2025-09-16 09:00:11.041298 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.