WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-9562 | WordPress 用 Redirection for Contact Form 7 プラグインは、3.2.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの qs_date ショートコードを経由した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-26 03:00:06.251041 |
| CVE-2025-11741 | WordPress 用 WPC Smart Quick View for WooCommerce プラグインは、4.2.5 までのすべてのバージョンにおいて、「woosq_quickview」AJAX エンドポイントを経由した情報漏えいの脆弱性があります。このため、認証されていない攻撃者が、パスワードで保護された商品、非公開の商品、またはドラフト商品から、アクセスすべきでないデータを引き出すことが可能になってしまいます。 | 5.3 |
CVE 2026-01-26 03:00:06.250025 |
| CVE-2025-11703 | WordPress 用 WP Go Maps (旧 WP Google Maps) プラグインは、9.0.48 までのすべてのバージョンにおいて、キャッシュポイズニングの脆弱性があります。これは、プラグインがサーバー側のレスポンスからキャッシュされたデータを提供せず、代わりにユーザー入力に依存していることが原因です。このため、認証されていない攻撃者が位置検索結果のキャッシュ位置を汚染することが可能です。 | 5.3 |
CVE 2026-01-26 03:00:06.249320 |
| CVE-2025-11691 | PPOM - Product Addons & Custom Fields for WooCommerce plugin for WordPress は、33.0.15 までのすべてのバージョンにおいて、 PPOM_Meta::get_fields_by_id() 関数を経由して SQL インジェクションを受ける脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。この問題は、[レガシー価格計算を有効にする] 設定が有効な場合にのみ発生します。 | 7.5 |
CVE 2026-01-26 03:00:06.248358 |
| CVE-2025-11519 | WordPress 用プラグイン Optimole - Optimize Images | Convert WebP & AVIF | CDN & Lazy Load | Image Optimization には、/wp-json/optml/v1/move_image REST API エンドポイントを経由する、4.1.0 までのすべてのバージョンにおいて、ユーザー制御キーのバリデーションが欠落しているため、Insecure Direct Object Reference の脆弱性があります。これにより、Authorレベル以上のアクセス権を持つ認証済みの攻撃者が、自分の所有物ではないメディアをオフロードすることが可能になります。 | 4.3 |
CVE 2026-01-26 03:00:06.247593 |
| CVE-2025-11517 | WordPress 用の Event Tickets and Registration プラグインは、5.26.5 までのすべてのバージョンにおいて、支払いバイパスに対する脆弱性があります。これは、/wp-json/tribe/tickets/v1/commerce/free/order エンドポイントが、チケットの種類が無料であることを検証しないために、ユーザが支払いをバイパスできるようになるためです。これにより、未認証の攻撃者が支払いを行わずに有料チケットへのアクセスを取得することが可能となり、ターゲットの収益の損失を引き起こします。 | 7.5 |
CVE 2026-01-26 03:00:06.246530 |
| CVE-2025-11510 | FileBird - WordPress Media Library Folders & File Manager プラグインは、6.4.9 までのすべてのバージョンにおいて、/filebird/v1/fb-wipe-clear-all-data 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、作者レベル以上のアクセス権を持つ認証済みの攻撃者は、プラグインの設定データをすべてリセットすることが可能です。 | 4.3 |
CVE 2026-01-26 03:00:06.245837 |
| CVE-2025-11391 | PPOM - Product Addons & Custom Fields for WooCommerce plugin for WordPress は、33.0.15 までのすべてのバージョンにおいて、画像クロッパー機能のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。この脆弱なコードは無料版にも含まれていますが、影響を受けるのは有料版をインストールし、有効化しているユーザーのみです。 | 9.8 |
CVE 2026-01-26 03:00:06.245100 |
| CVE-2025-11372 | WordPress 用プラグイン LearnPress - WordPress LMS Plugin には、4.2.9.2 までのすべてのバージョンにおいて、データの改変に対する脆弱性があります。これは、permission_callback が __return_true に設定された状態で登録されている Admin Tools REST エンドポイントの機能チェックが欠落しているためです。このため、認証されていない攻撃者は、テーブル名を指定することで、/wp-json/lp/v1/admin/tools/create-indexs エンドポイントを経由して、任意のテーブル(wp_options などの WordPress コアテーブルを含む)のインデックスの削除、重複した設定エントリの作成、サイトパフォーマンスの低下など、破壊的なデータベース操作を実行することができます。 | 6.5 |
CVE 2026-01-26 03:00:06.243927 |
| CVE-2025-11270 | Gutenberg Essential Blocks - Page Builder for Gutenberg Blocks & Patterns plugin for WordPress は、5.7.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'titleTag' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-26 03:00:06.243231 |
| CVE-2025-10187 | GSpeech TTS - WordPress Text To Speech Plugin plugin for WordPress は、3.17.13 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'field' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2026-01-26 03:00:06.242104 |
| CVE-2025-10006 | WordPress 用 WPBakery Page Builder プラグインは、8.6 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'rev_slider_vc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。これは RevSlider もインストールされている場合にのみ悪用可能です。 | 6.4 |
CVE 2026-01-26 03:00:06.241297 |
| CVE-2025-11857 | WordPress 用 XX2WP Integration Tools プラグインは、1.9.9 までのすべてのバージョンにおいて、'mxp_fb2wp_display_embed' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、プラグインが 'post_id' パラメータのユーザ入出力を適切にサニタイズしていないことが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-26 03:00:06.240610 |
| CVE-2025-11742 | WordPress用WPC Smart Wishlist for WooCommerceプラグインは、5.0.4までのすべてのバージョンにおいて、'wishlist_quickview' AJAXアクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証された攻撃者が、他のユーザーのウィッシュリストデータと情報を閲覧することが可能になります。 | 4.3 |
CVE 2026-01-26 03:00:06.239963 |
| CVE-2025-11738 | WordPress 用 Media Library Assistant プラグインには、mla-stream-image.php ファイルを介した、3.29 までのすべてのバージョンにおける限定的なファイル読み込みの脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意の ai/eps/pdf/ps ファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 5.3 |
CVE 2026-01-26 03:00:06.239169 |
| CVE-2025-11361 | Gutenberg Essential Blocks - Page Builder for Gutenberg Blocks & Patterns plugin for WordPress には、eb_save_ai_generated_image 関数を経由した、5.7.1 までのすべてのバージョンにおける Server-Side Request Forgery の脆弱性があります。これにより、Author レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 6.4 |
CVE 2026-01-26 03:00:06.238292 |
| CVE-2025-11378 | ShortPixel Image Optimizer - Optimize Images, Convert WebP & AVIF plugin for WordPress は、6.3.4 までのすべてのバージョンにおいて、'shortpixel_ajaxRequest' AJAX アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証済みの攻撃者が、サイト・オプションをエクスポートおよびインポートすることが可能になります。 | 5.4 |
CVE 2026-01-26 03:00:06.237118 |
| CVE-2020-36854 | WordPress 用 Async JavaScript プラグインは、2.19.07.14 までのバージョンにおいて、Stored Cross-Site Scripting の脆弱性があります。これは、aj_steps AJAX aciton の認可チェックの欠落と、関数経由で保存される設定のサニタイズの欠落によるものです。これにより、サブスクライバ・レベル以上の権限を持つ認証された攻撃者が、悪意のあるウェブ・スクリプトをページに注入し、ユーザがそのページにアクセスするたびに実行することが可能になります。 | 6.4 |
CVE 2026-01-26 03:00:06.236024 |
| CVE-2020-36853 | WordPress 用 10WebMapBuilder プラグインは、1.0.63 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分であり、ケイパビリティチェックが行われていないため、プラグイン設定変更を経由した Stored クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-26 03:00:06.235135 |
| CVE-2017-20208 | WordPress 用の RegistrationMagic - Custom Registration Forms, User Registration, Payment, and User Login プラグインは、3.7.9.3 (exclusive) までの全てのバージョンにおいて、 is_expired_by_date() 関数からの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP オブジェクトをインジェクションすることが可能となります。さらに POP チェーンが存在すると、攻撃者はリモートのファイルを取得し、 それをサイトにインストールすることが可能となります。 | 9.8 |
CVE 2026-01-26 03:00:06.233891 |
| CVE-2017-20207 | WordPress 用 Flickr Gallery プラグインは、1.5.2 までのバージョンにおいて、 `pager ` パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP オブジェクトを注入することが可能となります。攻撃者はこの脆弱性を WP_Theme() クラスで積極的に悪用し、 バックドアを作成していました。 | 9.8 |
CVE 2026-01-26 03:00:06.232465 |
| CVE-2017-20206 | WordPress 用 Appointments プラグインは、2.2.1 までのバージョンにおいて、 `wpmudev_appointments` クッキーからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP オブジェクトをインジェクションできてしまいます。攻撃者はこの脆弱性を WP_Theme() クラスで積極的に悪用し、バックドアを作成していました。 | 9.8 |
CVE 2026-01-26 03:00:06.228869 |
| CVE-2025-11895 | WordPress 用 Binary MLM Plan プラグインは、3.0 までのバージョンにおいて、安全でない直接オブジェクト参照の脆弱性があります。これは、bmp_user_payout_detail_of_current_user() 関数が、所有権を検証せずに id だけでペイアウトレコードを選択することに起因します。これにより、bmp_userロールを持つ認証済みの攻撃者(多くの場合、購読者)が、ショートコード出力にアクセスできるように細工されたpayout-idパラメータを持つ/bmp-account-detail/エンドポイントへの直接リクエストを介して、他のメンバーのペイアウト集計を表示することが可能になります。 | 4.3 |
CVE 2026-01-25 09:00:19.734634 |
| CVE-2025-10850 | WordPress 用 Felan Framework プラグインは、1.1.4 までのバージョンにおいて不適切な認証を受ける脆弱性があります。これは、「fb_ajax_login_or_register」関数と「google_ajax_login_or_register」関数でハードコードされたパスワードが原因です。これにより、認証されていない攻撃者は、フェイスブックやグーグル・ソーシャル・ログインで登録し、パスワードを変更していない場合、サイトの既存ユーザーとしてログインすることが可能になってしまう。 | 9.8 |
CVE 2026-01-24 03:00:04.532822 |
| CVE-2025-10849 | WordPress 用 Felan Framework プラグインは、1.1.4 までのバージョンにおいて、AJAX アクションを介して呼び出される 'process_plugin_actions' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が任意のプラグインを有効化または無効化することが可能になります。 | 5.3 |
CVE 2026-01-24 03:00:04.532157 |
| CVE-2025-10742 | WordPress 用 Truelysell Core プラグインは、1.8.6 までのバージョンにおいて、 ユーザーパスワードの任意変更の脆弱性があります。これは、このプラグインがオブジェクトへのユーザ制御アクセスを提供し、ユーザに認証をバイパスさせてシステムリソースにアクセスさせることに起因します。これにより、認証されていない攻撃者がユーザのパスワードを変更し、管理者アカウントを乗っ取る可能性があります。注意: これは、攻撃者がどのページに 'truelysell_edit_staff' ショートコードが含まれているかを知っている場合にのみ、未認証で悪用することができます。 | 9.8 |
CVE 2026-01-24 03:00:04.531437 |
| CVE-2025-10706 | WordPress 用テーマ Classified Pro は、1.0.14 までのすべてのバージョンにおいて、'cwp_addons_update_plugin_cb' 関数の機能チェックが欠落しているため、プラグインを不正にインストールされる脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証された攻撃者が、影響を受けるサイトのサーバに任意のプラグインをインストールすることが可能となり、リモートでコードを実行される可能性があります。注意: 脆弱性に必要な nonce は、CubeWP Framework プラグインにあります。 | 8.8 |
CVE 2026-01-24 03:00:04.530694 |
| CVE-2025-11814 | WordPress 用プラグイン Ultimate Addons for WPBakery には、3.21.1 (exclusive) までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-24 03:00:04.529825 |
| CVE-2025-10700 | WordPress 用プラグイン Ally - Web Accessibility & Usability には、3.8.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは enable_unfiltered_files_upload 関数における nonce 検証の欠落または不正確さが原因です。これにより、認証されていない攻撃者は、フィルタリングされていないファイルアップロードを有効にし、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる付与された偽造リクエストを介してアップロードリストにsvgファイルを追加することが可能になります。 | 4.3 |
CVE 2026-01-24 03:00:04.527158 |
| CVE-2025-9967 | WordPress 用 Orion SMS OTP Verification プラグインは、1.1.7 までのすべてのバージョンにおいて、アカウント乗っ取りによる権限昇格の脆弱性があります。これは、パスワードを更新する前に、プラグインがユーザの身元を適切に検証しないことが原因です。このため、認証されていない攻撃者がユーザの電話番号を知っている場合、任意のユーザのパスワードをワンタイムパスワードに変更することが可能です。 | 9.8 |
CVE 2026-01-23 09:00:05.718579 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.