WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11813 | WordPress 用の Responsive iframe GoogleMap プラグインは、1.0.2 までのすべてのバージョンにおいて、'responsive_map' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'width' 属性と 'height' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.634120 |
| CVE-2025-11811 | WordPress 用 Simple Youtube Shortcode プラグインは、1.1.3 までのすべてのバージョンにおいて、'embed_youtube' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'id' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.633096 |
| CVE-2025-11810 | WordPress 用 Print Button Shortcode プラグインは、1.0.1 までのすべてのバージョンにおいて、'print-button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'target' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.632065 |
| CVE-2025-11809 | WordPress 用 WP-Force Images Download プラグインは、1.8 までのすべてのバージョンにおいて、'wpfid' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'class' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.630900 |
| CVE-2025-11807 | WordPress 用 Mixlr Shortcode プラグインは、1.0.1 までのすべてのバージョンにおいて、'mixlr' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、'url' 属性の入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.629900 |
| CVE-2025-11804 | WordPress 用 JB News Ticker プラグインは、1.0 までのすべてのバージョンにおいて、'jbticker' ショートコードの 'id' ショートコード属性を経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これは、入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.628827 |
| CVE-2025-10138 | WordPress 用 This-or-That プラグインは、1.0.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'thisorthat' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.627266 |
| CVE-2025-10047 | Email Tracker - Email Log, Email Open Tracking, Email Analytics & Email Management for WordPress WordPress用Eメールプラグインは、5.3.12までのすべてのバージョンにおいて、'orderby'パラメータを経由したSQLインジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2026-01-30 09:00:23.613883 |
| CVE-2025-12033 | Simple Banner - Easily add multiple Banners/Bars/Notifications/Announcements to the top or bottom of your website plugin for WordPress は、3.0.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'pro_version_activation_code' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-01-30 03:00:08.452341 |
| CVE-2025-10588 | WordPress 用 PixelYourSite - Your smart PIXEL (TAG) & API Manager プラグインは、11.1.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは adminEnableGdprAjax() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介してGDPR設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-30 03:00:08.451275 |
| CVE-2025-10570 | WordPress 用 WooCommerce プラグイン Flexible Refund and Return Order には、1.0.38 までのすべてのバージョンにおいて、save_refund_request() 関数を経由した Missing Authorization の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、自分が所有していない任意の注文に対して返金リクエストを送信することが可能になります。 | 4.3 |
CVE 2026-01-30 03:00:08.450139 |
| CVE-2025-5983 | 3.3以前のMeta Tag Manager WordPressプラグインは、http-equivリフレッシュ・メタタグを作成できるロールを制限していません。 | 6.5 |
CVE 2026-01-30 03:00:08.449070 |
| CVE-2025-10651 | WordPress 用 Welcart e-Commerce プラグインは、2.11.22 までのバージョンにおいて、'order_mail' 設定を経由した Stored Cross-Site Scripting の脆弱性があります。これは、order_mail フィールドのサニタイズが不十分で、出力時にエスケープが行われていないことが原因です。これにより、Editorレベル以上の権限を持つ認証済みの攻撃者が、管理者がEメール設定ページにアクセスした際に実行される、一般設定ページ経由で任意のWebスクリプトを注入することが可能になります。 | 5.5 |
CVE 2026-01-30 03:00:08.448168 |
| CVE-2025-10638 | NS Maintenance Mode for WP WordPressプラグイン1.3.1では、購読者のエクスポート機能に認証が欠けているため、認証されていない攻撃者がサイトの購読者の名前と電子メールアドレスを含むリストをダウンロードできる。 | 5.3 |
CVE 2026-01-30 03:00:08.445182 |
| CVE-2025-10916 | 1.0.4 より前の FormGent WordPress プラグインには、ファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。このため、認証されていない攻撃者がサーバ上の任意のファイルを削除することが可能です。 | 9.1 |
CVE 2026-01-29 03:00:06.362593 |
| CVE-2025-11536 | WordPress 用 Elementor プラグイン Element Pack Addons には、8.2.5 までのすべてのバージョンにおいて、wp_ajax_import_elementor_template アクションを経由した Blind Server-Side Request Forgery の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 5.0 |
CVE 2026-01-28 09:00:07.288084 |
| CVE-2025-11926 | WordPress 用 Related Posts Lite プラグインは、1.12 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-01-26 09:00:06.608084 |
| CVE-2025-9890 | WordPress の Theme Editor プラグインは、3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'theme_editor_theme' ページにおける nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを経由してリモートでコードを実行することが可能になります。 | 8.8 |
CVE 2026-01-26 09:00:06.596049 |
| CVE-2025-11256 | WordPress 用の Kognetiks Chatbot プラグインには、2.3.5 までのすべてのバージョンにおいて、いくつかの機能の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が限られた安全なファイルをアップロードし、会話を消去することが可能になります。 | 5.3 |
CVE 2026-01-26 03:00:06.252554 |
| CVE-2025-10750 | WordPress 用 PowerBI Embed Reports プラグインは、1.2.0 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これは、「init」にフックされた mo_epbr_admin_observer() 関数を介してアクセス可能な「testUser」エンドポイントに、機能チェックと認証検証が欠けていることが原因です。これにより、認証されていない攻撃者が、displayName、メール、電話、部署などの個人を特定できる情報(PII)や、Azure AD アプリケーション/クライアント ID、エラーコード、トレース ID、相関 ID などの詳細な OAuth エラーデータを含む、機密性の高い Azure AD ユーザー情報にアクセスすることが可能になります。 | 5.3 |
CVE 2026-01-26 03:00:06.251784 |
| CVE-2025-9562 | WordPress 用 Redirection for Contact Form 7 プラグインは、3.2.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの qs_date ショートコードを経由した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-26 03:00:06.251041 |
| CVE-2025-11741 | WordPress 用 WPC Smart Quick View for WooCommerce プラグインは、4.2.5 までのすべてのバージョンにおいて、「woosq_quickview」AJAX エンドポイントを経由した情報漏えいの脆弱性があります。このため、認証されていない攻撃者が、パスワードで保護された商品、非公開の商品、またはドラフト商品から、アクセスすべきでないデータを引き出すことが可能になってしまいます。 | 5.3 |
CVE 2026-01-26 03:00:06.250025 |
| CVE-2025-11703 | WordPress 用 WP Go Maps (旧 WP Google Maps) プラグインは、9.0.48 までのすべてのバージョンにおいて、キャッシュポイズニングの脆弱性があります。これは、プラグインがサーバー側のレスポンスからキャッシュされたデータを提供せず、代わりにユーザー入力に依存していることが原因です。このため、認証されていない攻撃者が位置検索結果のキャッシュ位置を汚染することが可能です。 | 5.3 |
CVE 2026-01-26 03:00:06.249320 |
| CVE-2025-11691 | PPOM - Product Addons & Custom Fields for WooCommerce plugin for WordPress は、33.0.15 までのすべてのバージョンにおいて、 PPOM_Meta::get_fields_by_id() 関数を経由して SQL インジェクションを受ける脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。この問題は、[レガシー価格計算を有効にする] 設定が有効な場合にのみ発生します。 | 7.5 |
CVE 2026-01-26 03:00:06.248358 |
| CVE-2025-11519 | WordPress 用プラグイン Optimole - Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization には、/wp-json/optml/v1/move_image REST API エンドポイントを経由する、4.1.0 までのすべてのバージョンにおいて、ユーザー制御キーのバリデーションが欠落しているため、Insecure Direct Object Reference の脆弱性があります。これにより、Authorレベル以上のアクセス権を持つ認証済みの攻撃者が、自分の所有物ではないメディアをオフロードすることが可能になります。 | 4.3 |
CVE 2026-01-26 03:00:06.247593 |
| CVE-2025-11517 | WordPress 用の Event Tickets and Registration プラグインは、5.26.5 までのすべてのバージョンにおいて、支払いバイパスに対する脆弱性があります。これは、/wp-json/tribe/tickets/v1/commerce/free/order エンドポイントが、チケットの種類が無料であることを検証しないために、ユーザが支払いをバイパスできるようになるためです。これにより、未認証の攻撃者が支払いを行わずに有料チケットへのアクセスを取得することが可能となり、ターゲットの収益の損失を引き起こします。 | 7.5 |
CVE 2026-01-26 03:00:06.246530 |
| CVE-2025-11510 | FileBird - WordPress Media Library Folders & File Manager プラグインは、6.4.9 までのすべてのバージョンにおいて、/filebird/v1/fb-wipe-clear-all-data 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、作者レベル以上のアクセス権を持つ認証済みの攻撃者は、プラグインの設定データをすべてリセットすることが可能です。 | 4.3 |
CVE 2026-01-26 03:00:06.245837 |
| CVE-2025-11391 | PPOM - Product Addons & Custom Fields for WooCommerce plugin for WordPress は、33.0.15 までのすべてのバージョンにおいて、画像クロッパー機能のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。この脆弱なコードは無料版にも含まれていますが、影響を受けるのは有料版をインストールし、有効化しているユーザーのみです。 | 9.8 |
CVE 2026-01-26 03:00:06.245100 |
| CVE-2025-11372 | WordPress 用プラグイン LearnPress - WordPress LMS Plugin には、4.2.9.2 までのすべてのバージョンにおいて、データの改変に対する脆弱性があります。これは、permission_callback が __return_true に設定された状態で登録されている Admin Tools REST エンドポイントの機能チェックが欠落しているためです。このため、認証されていない攻撃者は、テーブル名を指定することで、/wp-json/lp/v1/admin/tools/create-indexs エンドポイントを経由して、任意のテーブル(wp_options などの WordPress コアテーブルを含む)のインデックスの削除、重複した設定エントリの作成、サイトパフォーマンスの低下など、破壊的なデータベース操作を実行することができます。 | 6.5 |
CVE 2026-01-26 03:00:06.243927 |
| CVE-2025-11270 | Gutenberg Essential Blocks - Page Builder for Gutenberg Blocks & Patterns plugin for WordPress は、5.7.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'titleTag' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-26 03:00:06.243231 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.