WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-10342 | WordPress 用 League of Legends Shortcodes プラグインは、1.0.1 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-02-02 03:00:16.911770 |
| CVE-2024-10341 | WordPress 用 League of Legends Shortcodes プラグインは、1.0.1 までのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、プラグインのショートコードを経由した SQL インジェクションの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証された攻撃者が、データベースから機密情報を抽出するために使用できる追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 6.5 |
CVE 2025-02-02 03:00:16.910403 |
| CVE-2024-10150 | WordPress 用 Bamazoo - Button Generator プラグインは、1.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの dgs ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-02-02 03:00:16.909657 |
| CVE-2024-9607 | WordPress 用の 10Web Social Post Feed プラグインは、1.2.9 までの全てのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、ページ内に任意のウェブ・スクリプトを注入して実行させることができます。これは、leave a review notice が存在する場合にのみ悪用可能であることに注意してください。 | 6.1 |
CVE 2025-02-02 03:00:16.908789 |
| CVE-2024-9302 | The App Builder - Create Native Android & iOS Apps On The Flight plugin for WordPress は、5.3.7 までのすべてのバージョンにおいて、アカウント乗っ取りによる特権昇格の脆弱性があります。これは、verify_otp_forgot_password() および update_password() 関数に、パスワードを変更するための OTP のブルートフォース攻撃を防ぐための十分な制御がないため、またはパスワードのリセット要求が認証されたユーザーからのものであることを確認するための十分な制御がないためです。このため、認証されていない攻撃者が、管理者を含むすべてのユーザのパスワードを変更できるようにする OTP を生成し、ブルートフォースすることが可能になってしまう。 | 8.1 |
CVE 2025-02-02 03:00:16.907283 |
| CVE-2024-9235 | WordPress 用 Mapster WP Maps プラグインは、1.5.0 までの全てのバージョンにおいて、 mapster_wp_maps_set_option_from_js() 関数の機能チェックが不十分なため、権限の昇格につながる不正なデータ修正の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になってしまう。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができる。 | 8.8 |
CVE 2025-02-02 03:00:16.906545 |
| CVE-2024-10148 | WordPress 用の Awesome buttons プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの btn2 ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-02-02 03:00:16.905762 |
| CVE-2024-10011 | WordPressのBuddyPressプラグインは、14.1.0までのすべてのバージョンにおいて、idパラメータを経由したディレクトリトラバーサルの脆弱性があります。これにより、Subscriberレベル以上のアクセス権を持つ認証された攻撃者は、本来意図されたディレクトリ外のファイルに対してアクションを実行することが可能になり、ウェブルート外のディレクトリへのファイルアップロードが可能になります。サーバーの設定によっては、二重の拡張子を持つファイルをアップロードできる可能性があります。この脆弱性は Windows にのみ影響します。 | 8.1 |
CVE 2025-02-02 03:00:16.905003 |
| CVE-2024-9488 | WordPress 用の Comments - wpDiscuz プラグインは、7.6.24 までのすべてのバージョンにおいて、認証バイパスの脆弱性があります。これはソーシャルログイントークンによって返されるユーザの検証が不十分なためです。このため、認証されていない攻撃者は、電子メールにアクセスすることができ、トークンを返すサービスの既存のアカウントを持っていないユーザであれば、管理者など、サイトの既存のユーザとしてログインすることが可能です。 | 9.8 |
CVE 2025-02-02 03:00:16.903840 |
| CVE-2024-9109 | WordPress 用 WooCommerce UPS Shipping - Live Rates and Access Points プラグインは、2.3.11 までのすべてのバージョンにおいて delete_oauth_data 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインの API キーを削除することが可能です。 | 4.3 |
CVE 2025-02-02 03:00:16.903088 |
| CVE-2024-9686 | WordPress 用 Order Notification for Telegram プラグインは、1.0.1 までのバージョンにおいて、'nktgnfw_send_test_message' 関数の機能チェックが欠落しているため、不正なテストメッセージ送信の脆弱性があります。これにより、認証されていない攻撃者が、Telegram Bot API 経由で、設定で設定されたユーザーにテストメッセージを送信することが可能になります。 | 5.3 |
CVE 2025-02-02 03:00:16.900521 |
| CVE-2024-10180 | WordPress 用 Contact Form 7 - Repeatable Fields プラグインは、2.0.1 までのすべてのバージョンにおいて、入力のサニタイズと出力属性のエスケープが不十分なため、プラグインの field_group ショートコードを経由した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-02-01 09:00:06.050520 |
| CVE-2024-8959 | WP Adminify - Custom WordPress Dashboard, Login and Admin Customizer plugin for WordPress には、4.0.1.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-02-01 09:00:06.049897 |
| CVE-2024-9650 | WordPress 用 WP Recipe Maker プラグインは、9.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tooltip' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.5 |
CVE 2025-02-01 09:00:06.049259 |
| CVE-2024-9214 | WordPress 用 Extra Product Options Builder for WooCommerce プラグインは、1.2.133 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、署名ファイルの作成時に 'RednaoSerializedFields' パラメータを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.1 |
CVE 2025-02-01 09:00:06.048670 |
| CVE-2024-10176 | WordPress 用 Compact WP Audio Player プラグインは、1.9.13 までのすべてのバージョンにおいて、プラグインの SC_EMBED_PLAYER ショートコードは、1.9.13 までのすべてのバージョンにおいて、入力サニタイズと出力エスケープが不十分なため、ユーザーから提供された属性に保存されたクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-02-01 09:00:06.048051 |
| CVE-2024-8717 | WordPress 用 PDF Flipbook, 3D Flipbook, PDF 埋め込み, PDF ビューア - DearFlip プラグインは、2.3.32 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'pdf_source' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-02-01 09:00:06.047380 |
| CVE-2024-10050 | WordPress 用 Elementor Header & Footer Builder プラグインは、1.6.43 までのすべてのバージョンにおいて、hfe_template ショートコードによる情報漏洩の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、自分の所有物ではない Draft、Private、パスワードで保護された投稿の内容を閲覧することが可能になります。 | 4.3 |
CVE 2025-02-01 09:00:06.044923 |
| CVE-2024-9943 | WordPress 用 MultiVendorX - The Ultimate WooCommerce Multivendor Marketplace Solution プラグインは、4.2.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、api/class-mvx-rest-controller.php のいくつかの関数で nonce バリデーションが欠けているか、正しくないことが原因です。これにより、認証されていない攻撃者が、ベンダーのアカウント詳細の更新、ベンダーのアカウントの作成、および任意のユーザーの削除を、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙して付与された偽造リクエストを介して行うことが可能になります。 | 6.3 |
CVE 2025-02-01 03:00:08.206763 |
| CVE-2024-9531 | WordPress 用 MultiVendorX - The Ultimate WooCommerce Multivendor Marketplace Solution プラグインは、4.2.4 までのすべてのバージョンにおいて、'mvx_sent_deactivation_request' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のベンダーのプロファイルを削除するよう求める定型メールをサイトの管理者に送信することが可能になります。 | 4.3 |
CVE 2025-02-01 03:00:08.205968 |
| CVE-2024-8667 | HurryTimer - An Scarcity and Urgency Countdown Timer for WordPress & WooCommerce plugin for WordPress には、2.10.0 までのすべてのバージョンで activateCampaign() 関数の機能チェックが欠落しているため、不正な投稿が公開される脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、レビュー用に投稿した投稿やサイト管理者が下書きしている投稿のような任意の投稿を公開することが可能になってしまいます。 | 4.3 |
CVE 2025-02-01 03:00:08.205285 |
| CVE-2024-9865 | EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress は、4.0.4.7 までの全てのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'ep_booking_attendee_fields' フィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザが予約のトランザクションログにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.1 |
CVE 2025-02-01 03:00:08.204590 |
| CVE-2024-9864 | EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress は、4.0.4.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、チケット名を介した Stored Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。これは、フロントエンドのユーザがチケットで新しいイベントを送信できる場合にのみ悪用可能です。 | 6.1 |
CVE 2025-02-01 03:00:08.203869 |
| CVE-2024-9374 | WordPress 用 Terms descriptions プラグインは、3.4.6 までのすべてのバージョンで URL に適切なエスケープを施さずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-02-01 03:00:08.201275 |
| CVE-2024-10250 | WordPress 用 Nioland テーマは、1.2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、's' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-31 09:00:34.340644 |
| CVE-2024-8500 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、7.2.2 までのすべてのバージョンにおいて、いくつかのパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-01-31 09:00:34.338254 |
| CVE-2024-9530 | WordPress 用 Qi Addons For Elementor プラグインは、1.8.0 までのすべてのバージョンにおいて、プライベートテンプレートを介した機密情報暴露の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、プライベートなテンプレートの内容を含む機密データを抽出することが可能になります。 | 4.3 |
CVE 2025-01-31 03:00:20.836176 |
| CVE-2024-10045 | WordPress 用 Transients Manager プラグインは、2.0.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは process_actions 関数の nonce 検証の欠落または不正確さによるものです。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによって transients を削除することが可能になります。 | 4.3 |
CVE 2025-01-31 03:00:20.835496 |
| CVE-2024-9947 | WordPress 用 ProfilePress Pro プラグインには、4.11.1 までのすべてのバージョンにおいて、認証バイパスの脆弱性があります。これはソーシャルログイントークンによって返されるユーザーの検証が不十分なためです。このため、認証されていない攻撃者は、電子メールにアクセスすることができ、トークンを返すサービスの既存のアカウントを持っていないユーザであれば、サイトの管理者などの既存のユーザとしてログインすることが可能です。 | 8.1 |
CVE 2025-01-31 03:00:20.834826 |
| CVE-2024-9583 | RSS Aggregator - RSS Import, News Feeds, Feed to Post, and Autoblogging plugin for WordPress は、4.23.12 までのすべてのバージョンにおいて、wprss_ajax_send_premium_support 関数の機能チェックが欠落しているため、機能を不正に使用される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、攻撃者が管理する件名と電子メールアドレスでプレミアムサポートリクエストをサポートに送信し、サイト所有者になりすますことが可能になります。ライセンス情報も流出する可能性があります。 | 4.3 |
CVE 2025-01-31 03:00:20.833869 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.