WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] (6212)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-10570 WordPress 用の Security & Malware scan by CleanTalk プラグインは、2.145 までのすべてのバージョンにおいて checkWithoutToken 関数の逆 DNS スプーフィングによる認証バイパス、および入力のサニタイズとバリデーションが不十分なため、不正な SQL インジェクションの脆弱性があります。これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 7.5 CVE
2025-03-06 03:00:11.626271
CVE-2024-10542 WordPress 用のスパム対策、アンチスパム、FireWall by CleanTalk プラグインは、6.43.2 までのすべてのバージョンにおいて、checkWithoutToken 関数の逆 DNS スプーフィングによる認証バイパスにより、許可されていない任意のプラグインをインストールされる脆弱性があります。これにより、認証されていない攻撃者が任意のプラグインをインストールして有効化することが可能になり、別の脆弱なプラグインがインストールされ有効化されると、リモートでコードを実行される可能性があります。 9.8 CVE
2025-03-06 03:00:11.625535
CVE-2024-10471 3.0.4.2より前のEverest Forms WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-03-06 03:00:11.624741
CVE-2024-11418 WordPress 用の Additional Order Filters for WooCommerce プラグインは、1.21 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'shipping_method_filter' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-03-06 03:00:11.623842
CVE-2024-11342 WordPress 用 Skt NURCaptcha プラグインは、3.5.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、skt-nurc-admin.php ファイルにおける nonce バリデーションの欠落または不正確さが原因です。これにより、認証されていない攻撃者が設定を更新したり、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-03-06 03:00:11.621121
CVE-2024-10729 WordPress 用 WooCommerce プラグイン Booking & Appointment Plugin には、6.9.0 までのバージョンにおいて、'save_google_calendar_data' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、サイトオプションを任意に更新することが可能になります。 8.8 CVE
2025-03-05 23:00:10.388114
CVE-2024-7056 1.9.1.6より前のWPForms WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、Adminなどの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-03-05 03:00:06.787987
CVE-2024-6393 3.59.5以前のPhoto Gallery, Sliders, Proofing and WordPressプラグインは、画像設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-03-05 03:00:06.787153
CVE-2024-10710 1.2.5までのYaDisk Files WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-03-05 03:00:06.786214
CVE-2024-10709 1.2.5までのYaDisk Files WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 6.8 CVE
2025-03-05 03:00:06.783492
CVE-2024-11231 우커머스 네이버페이 plugin for WordPress は、3.3.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの mnp_purchase ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 09:00:12.018202
CVE-2024-11229 これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 09:00:12.017642
CVE-2024-11228 워드프레스 결제 심플러 페이 - 우커머스 결제 플러그인 plugin for WordPress には、5.1.4 までのすべてのバージョンにおいて、プラグインの pafw_instant_payment ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。1.4 を含むすべてのバージョンにおいて、プラグインの pafw_instant_payment ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 09:00:12.017047
CVE-2024-11227 WordPress 用 Memberlite Shortcodes プラグインは、1.3.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの memberlite_accordion ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 09:00:12.015819
CVE-2024-11199 WordPress 用 Rescue Shortcodes プラグインは、2.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの rescue_progressbar ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 09:00:12.015023
CVE-2024-10519 WooCommerce 用 Wishlist:WordPress 用 Wishlist for WooCommerce: Multi Wishlists Per Customer PRO プラグインは、バージョン 3.0.8 から 3.1.2 において、入力のサニタイズと出力のエスケープが不十分なため、'wtab' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。注意: この脆弱性の影響を受けるのは、PHP のバージョンが 7.4 未満の WordPress のみです。 6.1 CVE
2025-03-03 09:00:12.012430
CVE-2024-9942 WPGYM - Wordpress Gym Management System plugin for WordPress は、67.1.0 までのすべてのバージョンにおいて、 MJ_gmgt_user_avatar_image_upload() 関数にファイルタイプ検証の欠落があるため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 9.8 CVE
2025-03-03 03:00:04.140489
CVE-2024-9941 WPGYM - Wordpress Gym Management System プラグインは、67.1.0 までのすべてのバージョンにおいて、 MJ_gmgt_add_staff_member() 関数の機能チェックが欠落しているため、特権昇格の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、管理者ロールで新しいユーザアカウントを作成することが可能になります。 8.8 CVE
2025-03-03 03:00:04.139279
CVE-2024-9660 WordPress 用 School Management System for Wordpress プラグインは、91.5.0 までのすべてのバージョンにおいて、 mj_smgt_load_documets_new() および mj_smgt_load_documets() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証された攻撃者(Studentレベル以上のアクセス権を持つ者)が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 8.8 CVE
2025-03-03 03:00:04.138581
CVE-2024-9659 WordPress 用 School Management System for Wordpress プラグインは、91.5.0 までのすべてのバージョンにおいて、 mj_smgt_user_avatar_image_upload() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 9.8 CVE
2025-03-03 03:00:04.137857
CVE-2024-9511 FluentSMTP - WP SMTP Plugin with Amazon SES, SendGrid, MailGun, Postmark, Google and Any SMTP Provider plugin for WordPress には、2.2.82 までのすべてのバージョンにおいて、'formatResult' 関数内で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP オブジェクトを注入することが可能となります。脆弱なソフトウェアには、既知の POP チェーンは存在しません。ターゲットシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、 機密データを取得したり、コードを実行したりできる可能性があります。この脆弱性はバージョン 2.2.82 で部分的に修正されました。 9.8 CVE
2025-03-03 03:00:04.136714
CVE-2024-10803 WordPress 用 MP3 Sticky Player プラグインは、8.0 までのすべてのバージョンにおいて、 content/downloader.php ファイルを経由した Directory Traversal の脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。ベンダは、パッチを当てたバージョンを影響を受けたバージョンと同じバージョンとしてリリースしていることに注意してください。 7.5 CVE
2025-03-03 03:00:04.135928
CVE-2024-9635 WordPress の WooCommerce プラグイン「Checkout with Cash App on WooCommerce」には、6.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかのファイルの「_wp_http_referer」パラメータを経由したリフレクト・クロスサイト・スクリプティングの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-03-03 03:00:04.134828
CVE-2024-11446 Chessgame Shizzle プラグインは、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cs_nonce' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-03-03 03:00:04.133633
CVE-2024-11330 WordPress 用 Custom CSS, JS & PHP プラグインは、2.3.0 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg と remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-03-03 03:00:04.133042
CVE-2024-11265 WordPress 用プラグイン Increase Maximum Upload File Size | Increase Execution Time には、1.1.3 までのすべてのバージョンにおいて、フルパス情報漏洩の脆弱性があります。これは、画像アップロードのエラーメッセージにフルパス情報が含まれているためです。これにより、作者レベル以上の権限を持つ認証済みの攻撃者がウェブアプリケーションのフルパスを取得することが可能となり、他の攻撃に利用される可能性があります。表示される情報はそれだけでは役に立たず、影響を受けるウェブサイトに損害を与えるためには、別の脆弱性が存在する必要があります。 4.3 CVE
2025-03-03 03:00:04.132388
CVE-2024-11188 WordPress 用 Formidable Forms - Contact Form Plugin, Survey, Quiz, Payment, Calculator Form & Custom Form Builder プラグインには、入力のサニタイズと出力のエスケープが不十分なため、6.16.1.2 までのすべてのバージョンにおいて、カスタム HTML フォームパラメータを経由した POST ベースのリフレクト型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 6.1 CVE
2025-03-03 03:00:04.131719
CVE-2024-11426 AutoListicle:WordPress用のプラグイン「AutoListicle: Automatically Update Numbered List Articles」は、1.2.3までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分であるため、プラグインの「auto-list-number」ショートコードを経由した「Stored Cross-Site Scripting」の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 03:00:04.131087
CVE-2024-11408 WordPress 用 Slotti Ajanvaraus プラグインは、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'slotti' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 03:00:04.129885
CVE-2024-11387 WordPress 用 Easy Liveblogs プラグインは、2.3.5 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'elb_liveblog' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-03-03 03:00:04.128842
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] (6212)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.