WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-3748 4.71までのSP Project & Document Manager WordPressプラグインは、アップロード機能のバリデーションが欠落しているため、`user_id`を操作して別のユーザーがファイルをアップロードしたように見せかけることができる。 6.5 CVE
2024-08-23 03:00:05.104209
CVE-2024-3407 2.0.9 までの WP Prayer WordPress プラグインには CSRF チェックがない箇所があり、CSRF 攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性があります。 5.3 CVE
2024-08-23 03:00:05.103650
CVE-2024-3406 2.0.9までのWordPressプラグイン「WP Prayer」には、メール設定の更新時にCSRFチェックが行われていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 8.8 CVE
2024-08-23 03:00:05.102962
CVE-2024-4208 Gutenberg Blocks with AI by Kadence WP - Page Builder Features plugin for WordPress は、3.2.37 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、高度な見出しウィジェットのタイパーエフェクトを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-23 03:00:05.102123
CVE-2024-3189 Gutenberg Blocks by Kadence Blocks - Page Builder Features plugin for WordPress は、3.2.37 までのバージョンにおいて、プラグインの 'Testimonial', 'Progress Bar', 'Lottie Animations', 'Row Layout', 'Google Maps', および 'Advanced Gallery' ブロックを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 5.4 CVE
2024-08-23 03:00:05.099364
CVE-2024-4847 Alt Text AI - Automatically generate image alt text for SEO and accessibility plugin for WordPress is vulnerable to generic SQL Injection via 'last_post_id' parameter in the all versions up to and including, and including 1.4.9 due to insufficient escaping on the user supplied parameter and lack of preparation on the existing SQL query. このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 8.8 CVE
2024-08-22 23:00:06.246228
CVE-2024-4734 WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 4.4 CVE
2024-08-22 23:00:06.245651
CVE-2024-4656 WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ユーザエージェントヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 4.4 CVE
2024-08-22 23:00:06.245058
CVE-2024-4618 Exclusive Addons for Elementor plugin for WordPress は、2.6.9.6 までのすべてのバージョンにおいて、ユーザが提供する 'url' 属性に対する入力のサニタイズと出力のエスケープが不十分なため、Team Member ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 23:00:06.244444
CVE-2024-4373 WordPressのSina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates)プラグインは、3.5.3までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのSina Particle Layerウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 23:00:06.243784
CVE-2024-4199 WordPress 用 Bulk Posts Editing For WordPress プラグインは、4.2.3 までのすべてのバージョンにおいて、プラグインの AJAX アクションの機能チェックが欠落しているため、機能への不正アクセスの脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、対応する機能を呼び出すことが可能です。これは、投稿の作成と複製、投稿内容の検索、投稿のタクソノミーの操作につながる可能性があります。 4.3 CVE
2024-08-22 23:00:06.243120
CVE-2024-4370 WordPress 用 WPZOOM Addons for Elementor (Templates, Widgets) プラグインは、1.1.36 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェット Image Box を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 23:00:06.242467
CVE-2024-4363 WordPress 用 Visual Portfolio, Photo Gallery & Post Grid プラグインは、3.3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'title_tag' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 23:00:06.241782
CVE-2024-0437 WordPress 用プラグイン Password Protected - Ultimate Plugin to Password Protect Your WordPress Content with Ease には、2.6.6 までのすべてのバージョンにおいて、API を介した機密情報漏洩の脆弱性があります。これにより、サブスクライバー以上のアクセス権を持つ認証済みの攻撃者が、投稿タイトルとコンテンツを抽出し、プラグインのパスワード保護をバイパスすることが可能になります。 4.3 CVE
2024-08-22 23:00:06.240966
CVE-2024-4666 Borderless - Widgets, Elements, Templates and Toolkit for Elementor & Gutenberg plugin for WordPress には、1.5.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 23:00:06.238305
CVE-2024-4860 WordPress RSS Aggregator' WordPress プラグインのバージョン < 4.23.9 には、'notice_id' GET パラメータのサニタイズ不足によるクロスサイトスクリプティング (XSS) 脆弱性の影響があります。 5.4 CVE
2024-08-22 09:00:05.926010
CVE-2024-4624 The Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugins for WordPress は、5.9.20 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'eael_ext_toc_title_tag' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.925293
CVE-2024-4473 WordPress 用のプラグイン Sydney Toolbox には、"aThemes. Portfolio" ウィジェットを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります:1.31までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、"Portfolio "ウィジェットを経由したストアド・クロスサイト・スクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.924546
CVE-2024-4445 WordPress 用プラグイン WP Compress - Image Optimizer [All-In-One] には、6.20.01 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、マルチサイト環境でクロスサイトスクリプティングの保存を含むプラグインの設定を編集することが可能になります。 6.5 CVE
2024-08-22 09:00:05.923933
CVE-2024-4440 140+ Widgets | Best Addons For Elementor - FREE plugin for WordPress は、1.4.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.923351
CVE-2024-4392 Jetpack - WP Security, Backup, Speed, & Growth plugin for WordPress は、13.3.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの wpvideo ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.922768
CVE-2024-4333 WordPress 用 Sina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates) プラグインには、入力のサニタイズと出力のエスケープが不十分なため、3.5.3 までのバージョンにおいて、いくつかのパラメータを経由した DOM ベースのクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.922191
CVE-2024-4144 WordPress 用 Simple Basic Contact Form プラグインは、20240502 までの全てのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。深刻度と悪用可能性は、環境にインストールされている他のプラグインの機能に依存します。 6.5 CVE
2024-08-22 09:00:05.921558
CVE-2024-0870 WordPress 用 YITH WooCommerce Gift Cards プラグインは、4.12.0 までのすべてのバージョンにおいて、'save_mail_status' および 'save_email_settings' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がWooCommerceの設定を変更することが可能になります。 5.3 CVE
2024-08-22 09:00:05.921036
CVE-2023-6812 WP Compress - Image Optimizer [All-In-One plugin for WordPress] には、6.20.01 までのすべてのバージョンで Open Redirect の脆弱性があります。これは、'css' パラメータ経由で提供されるリダイレクト URL の検証が不十分なためです。これにより、認証されていない攻撃者がユーザーを騙してアクションを実行させることに成功した場合、潜在的に悪意のあるサイトにリダイレクトさせることが可能になります。 4.3 CVE
2024-08-22 09:00:05.920451
CVE-2024-4630 Starter Templates - Elementor, WordPress & Beaver Builder Templates plugin for WordPress は、4.2.0 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'custom_upload_mimes' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.919878
CVE-2024-4605 WordPress 用 Breakdance プラグインには、1.7.1 までのすべてのバージョンにおいて、投稿のメタデータを経由したリモートコード実行の脆弱性があります。これは、プラグインがカスタムデータをアンダースコアの接頭辞なしでメタデータに保存することに起因します。これにより、投稿者のような権限の低いユーザがUI経由でこのデータを編集することが可能になってしまいます。その結果、彼らは特権を昇格させたり、任意のコードを実行したりすることができます。 8.8 CVE
2024-08-22 09:00:05.919292
CVE-2024-4574 Graphina - Elementor Charts and Graphs plugin for WordPress には、1.8.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.918687
CVE-2024-4567 WordPress 用 Themify Shortcodes プラグインは、2.0.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの themify_button ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-22 09:00:05.918053
CVE-2024-4560 Kognetiks Chatbot for WordPress プラグインは、1.9.9 までの全てのバージョンにおいて、 chatbot_chatgpt_upload_file_to_assistant 関数にファイルタイプ検証の欠落があるため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 9.8 CVE
2024-08-22 09:00:05.917405
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.