見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2024-3748 | 4.71までのSP Project & Document Manager WordPressプラグインは、アップロード機能のバリデーションが欠落しているため、`user_id`を操作して別のユーザーがファイルをアップロードしたように見せかけることができる。 | 6.5 |
CVE 2024-08-23 03:00:05.104209 |
CVE-2024-3407 | 2.0.9 までの WP Prayer WordPress プラグインには CSRF チェックがない箇所があり、CSRF 攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性があります。 | 5.3 |
CVE 2024-08-23 03:00:05.103650 |
CVE-2024-3406 | 2.0.9までのWordPressプラグイン「WP Prayer」には、メール設定の更新時にCSRFチェックが行われていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 8.8 |
CVE 2024-08-23 03:00:05.102962 |
CVE-2024-4208 | Gutenberg Blocks with AI by Kadence WP - Page Builder Features plugin for WordPress は、3.2.37 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、高度な見出しウィジェットのタイパーエフェクトを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-23 03:00:05.102123 |
CVE-2024-3189 | Gutenberg Blocks by Kadence Blocks - Page Builder Features plugin for WordPress は、3.2.37 までのバージョンにおいて、プラグインの 'Testimonial', 'Progress Bar', 'Lottie Animations', 'Row Layout', 'Google Maps', および 'Advanced Gallery' ブロックを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-08-23 03:00:05.099364 |
CVE-2024-4847 | Alt Text AI - Automatically generate image alt text for SEO and accessibility plugin for WordPress is vulnerable to generic SQL Injection via 'last_post_id' parameter in the all versions up to and including, and including 1.4.9 due to insufficient escaping on the user supplied parameter and lack of preparation on the existing SQL query. このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 8.8 |
CVE 2024-08-22 23:00:06.246228 |
CVE-2024-4734 | WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-08-22 23:00:06.245651 |
CVE-2024-4656 | WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ユーザエージェントヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 4.4 |
CVE 2024-08-22 23:00:06.245058 |
CVE-2024-4618 | Exclusive Addons for Elementor plugin for WordPress は、2.6.9.6 までのすべてのバージョンにおいて、ユーザが提供する 'url' 属性に対する入力のサニタイズと出力のエスケープが不十分なため、Team Member ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.244444 |
CVE-2024-4373 | WordPressのSina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates)プラグインは、3.5.3までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのSina Particle Layerウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.243784 |
CVE-2024-4199 | WordPress 用 Bulk Posts Editing For WordPress プラグインは、4.2.3 までのすべてのバージョンにおいて、プラグインの AJAX アクションの機能チェックが欠落しているため、機能への不正アクセスの脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、対応する機能を呼び出すことが可能です。これは、投稿の作成と複製、投稿内容の検索、投稿のタクソノミーの操作につながる可能性があります。 | 4.3 |
CVE 2024-08-22 23:00:06.243120 |
CVE-2024-4370 | WordPress 用 WPZOOM Addons for Elementor (Templates, Widgets) プラグインは、1.1.36 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェット Image Box を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.242467 |
CVE-2024-4363 | WordPress 用 Visual Portfolio, Photo Gallery & Post Grid プラグインは、3.3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'title_tag' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.241782 |
CVE-2024-0437 | WordPress 用プラグイン Password Protected - Ultimate Plugin to Password Protect Your WordPress Content with Ease には、2.6.6 までのすべてのバージョンにおいて、API を介した機密情報漏洩の脆弱性があります。これにより、サブスクライバー以上のアクセス権を持つ認証済みの攻撃者が、投稿タイトルとコンテンツを抽出し、プラグインのパスワード保護をバイパスすることが可能になります。 | 4.3 |
CVE 2024-08-22 23:00:06.240966 |
CVE-2024-4666 | Borderless - Widgets, Elements, Templates and Toolkit for Elementor & Gutenberg plugin for WordPress には、1.5.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.238305 |
CVE-2024-4860 | WordPress RSS Aggregator' WordPress プラグインのバージョン < 4.23.9 には、'notice_id' GET パラメータのサニタイズ不足によるクロスサイトスクリプティング (XSS) 脆弱性の影響があります。 | 5.4 |
CVE 2024-08-22 09:00:05.926010 |
CVE-2024-4624 | The Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugins for WordPress は、5.9.20 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'eael_ext_toc_title_tag' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.925293 |
CVE-2024-4473 | WordPress 用のプラグイン Sydney Toolbox には、"aThemes. Portfolio" ウィジェットを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります:1.31までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、"Portfolio "ウィジェットを経由したストアド・クロスサイト・スクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.924546 |
CVE-2024-4445 | WordPress 用プラグイン WP Compress - Image Optimizer [All-In-One] には、6.20.01 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、マルチサイト環境でクロスサイトスクリプティングの保存を含むプラグインの設定を編集することが可能になります。 | 6.5 |
CVE 2024-08-22 09:00:05.923933 |
CVE-2024-4440 | 140+ Widgets | Best Addons For Elementor - FREE plugin for WordPress は、1.4.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.923351 |
CVE-2024-4392 | Jetpack - WP Security, Backup, Speed, & Growth plugin for WordPress は、13.3.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの wpvideo ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.922768 |
CVE-2024-4333 | WordPress 用 Sina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates) プラグインには、入力のサニタイズと出力のエスケープが不十分なため、3.5.3 までのバージョンにおいて、いくつかのパラメータを経由した DOM ベースのクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.922191 |
CVE-2024-4144 | WordPress 用 Simple Basic Contact Form プラグインは、20240502 までの全てのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。深刻度と悪用可能性は、環境にインストールされている他のプラグインの機能に依存します。 | 6.5 |
CVE 2024-08-22 09:00:05.921558 |
CVE-2024-0870 | WordPress 用 YITH WooCommerce Gift Cards プラグインは、4.12.0 までのすべてのバージョンにおいて、'save_mail_status' および 'save_email_settings' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がWooCommerceの設定を変更することが可能になります。 | 5.3 |
CVE 2024-08-22 09:00:05.921036 |
CVE-2023-6812 | WP Compress - Image Optimizer [All-In-One plugin for WordPress] には、6.20.01 までのすべてのバージョンで Open Redirect の脆弱性があります。これは、'css' パラメータ経由で提供されるリダイレクト URL の検証が不十分なためです。これにより、認証されていない攻撃者がユーザーを騙してアクションを実行させることに成功した場合、潜在的に悪意のあるサイトにリダイレクトさせることが可能になります。 | 4.3 |
CVE 2024-08-22 09:00:05.920451 |
CVE-2024-4630 | Starter Templates - Elementor, WordPress & Beaver Builder Templates plugin for WordPress は、4.2.0 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'custom_upload_mimes' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.919878 |
CVE-2024-4605 | WordPress 用 Breakdance プラグインには、1.7.1 までのすべてのバージョンにおいて、投稿のメタデータを経由したリモートコード実行の脆弱性があります。これは、プラグインがカスタムデータをアンダースコアの接頭辞なしでメタデータに保存することに起因します。これにより、投稿者のような権限の低いユーザがUI経由でこのデータを編集することが可能になってしまいます。その結果、彼らは特権を昇格させたり、任意のコードを実行したりすることができます。 | 8.8 |
CVE 2024-08-22 09:00:05.919292 |
CVE-2024-4574 | Graphina - Elementor Charts and Graphs plugin for WordPress には、1.8.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.918687 |
CVE-2024-4567 | WordPress 用 Themify Shortcodes プラグインは、2.0.9 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの themify_button ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.918053 |
CVE-2024-4560 | Kognetiks Chatbot for WordPress プラグインは、1.9.9 までの全てのバージョンにおいて、 chatbot_chatgpt_upload_file_to_assistant 関数にファイルタイプ検証の欠落があるため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2024-08-22 09:00:05.917405 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.