WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-4670 | Easy Digital Downloads - eCommerce Payments and Subscriptions made easy plugin for WordPress は、3.3.8.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの edd_receipt ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.651776 |
| CVE-2025-4583 | WordPress 用 Smash Balloon Social Photo Feed - Easy Social Feeds Plugin プラグインは、6.9.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、`data-plugin` 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-08-24 23:00:05.650824 |
| CVE-2025-4963 | WordPress 用 WP Extended プラグインは、3.0.15 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-08-24 23:00:05.649886 |
| CVE-2025-5287 | WordPress の Likes and Dislikes Plugin プラグインは、1.0.0 までのすべてのバージョンにおいて、 ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、 'post' パラメータ経由で SQL インジェクションを受ける脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-08-24 23:00:05.649246 |
| CVE-2025-5082 | WordPress 用 WP Attachments プラグインは、5.0.12 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'attachment_id' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-08-24 23:00:05.647639 |
| CVE-2025-4800 | WordPress 用 MasterStudy LMS Pro プラグインは、4.7.0 までのすべてのバージョンにおいて、stm_lms_add_assignment_attachment 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2025-08-24 23:00:05.646733 |
| CVE-2025-3704 | DBAR Productions ボランティアサインアップシートにおけるウェブページ生成時の入力の不適切な中和('クロスサイトスクリプティング')の脆弱性により、保存されたXSSが可能です。この問題は、ボランティアサインアップシート: 5.5.5より前のバージョンに影響します。 このパッチは、WordPress.org リポジトリにデプロイするために SVN を使用することが困難なため、GitHub の https://github.com/dbarproductions/pta-volunteer-sign-up-sheets から入手可能です。 | 5.9 |
CVE 2025-08-24 23:00:05.646135 |
| CVE-2025-5117 | WordPress 用 Property プラグインは、バージョン 1.0.5 から 1.0.6 において property_package_user_role メタデータの使用に関するケイパビリティチェックが欠落しているため、特権昇格の脆弱性があります。このため、Authorレベル以上のアクセス権を持つ認証済みの攻撃者は、property_package_user_roleがadministratorに設定されたパッケージ投稿を作成し、PayPal登録フォームを送信することで、権限を管理者に昇格させることが可能です。 | 8.8 |
CVE 2025-08-24 23:00:05.645417 |
| CVE-2025-4683 | WordPress 用プラグイン MStore API - Create Native Android & iOS Apps On The Cloud には、4.17.5 までのすべてのバージョンにおいて、create_blog 関数のケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が新しい投稿を作成することが可能です。 | 4.3 |
CVE 2025-08-24 23:00:05.644691 |
| CVE-2025-4682 | WordPress 用プラグイン Essential Blocks - Page Builder Gutenberg Blocks, Patterns & Templates には、5.4.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Slider および Post Carousel ウィジェットの HTML 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.643710 |
| CVE-2025-4783 | Exclusive Addons for Elementor plugin for WordPress は、2.7.9.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、カウントダウンタイマーウィジェットの HTML 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行されるページ内の任意のWebスクリプトを注入することが可能になります。 | 6.4 |
CVE 2025-08-24 23:00:05.642896 |
| CVE-2025-4223 | ページビルダーPagelayer - Drag and Drop website builder plugin for WordPress は、2.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'login_url' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。悪用に成功するためには、有効なユーザー名とパスワードのペアが提供される必要があり、注入されたスクリプトは、認証されたユーザーのコンテキスト内でのみ実行されます。 | 4.7 |
CVE 2025-08-24 23:00:05.641853 |
| CVE-2025-5058 | WordPress 用 eMagicOne Store Manager for WooCommerce プラグインは、1.2.5 までのすべてのバージョンにおいて、set_image() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。これは、デフォルトのパスワードが1:1のままになっているか、攻撃者が認証情報にアクセスできるデフォルトの設定においてのみ、認証されていない攻撃者に悪用される可能性があります。 | 9.8 |
CVE 2025-08-24 23:00:05.640899 |
| CVE-2025-4603 | WordPress 用の eMagicOne Store Manager for WooCommerce プラグインは、1.2.5 までのすべてのバージョンにおいて、delete_file() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。このため、認証されていない攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。これは、デフォルトのパスワードが1:1のままになっているデフォルトの設定や、攻撃者が認証情報へのアクセスを獲得している場合にのみ、認証されていない攻撃者によって悪用されます。 | 9.1 |
CVE 2025-08-24 23:00:05.640240 |
| CVE-2025-4602 | WordPress 用 eMagicOne Store Manager for WooCommerce プラグインは、1.2.5 までのすべてのバージョンにおいて、get_file() 関数経由で任意のファイルを読み取られる脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。これは、デフォルトのパスワードが1:1のままになっているか、攻撃者が認証情報にアクセスできるようになったデフォルトの設定においてのみ、認証されていない攻撃者に悪用される可能性があります。 | 5.9 |
CVE 2025-08-24 23:00:05.639111 |
| CVE-2025-4336 | WordPress 用 eMagicOne Store Manager for WooCommerce プラグインは、1.2.5 までのすべてのバージョンにおいて、set_file() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。これは、デフォルトのパスワードが1:1のままになっているか、攻撃者が認証情報にアクセスできるデフォルトの設定においてのみ、未認証の攻撃者に悪用されます。 | 8.1 |
CVE 2025-08-24 23:00:05.637881 |
| CVE-2025-5055 | Smart Forms - when you need more than just a contact form plugin for WordPress は、2.6.98 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-08-24 23:00:05.637285 |
| CVE-2025-3869 | WordPress 用 4stats プラグインには、2.0.9 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、stats/stats.php ページにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-08-24 23:00:05.636625 |
| CVE-2024-13427 | ページビルダーPagelayer - Drag and Drop website builder plugin for WordPress は、2.0.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Button ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性はバージョン 1.9.9 で部分的に修正され、バージョン 2.0.1 で完全に修正されました。 | 6.4 |
CVE 2025-08-24 23:00:05.635607 |
| CVE-2025-47670 | miniOrange WordPress ソーシャルログインおよび登録における PHP プログラムの Include/Require ステートメントにおけるファイル名の不適切な制御 (「PHP リモートファイルインクルージョン」) の脆弱性により、PHP ローカルファイルインクルージョンが発生します。この問題は、WordPress Social Login and Register: n/a から 7.6.10 までのバージョンに影響します。 | 8.1 |
CVE 2025-08-24 23:00:05.634639 |
| CVE-2025-47658 | ELEXtensions ELEX WordPress HelpDesk & Customer Ticketing System における危険な型のファイルの無制限アップロードの脆弱性により、ウェブシェルがウェブサーバにアップロードされます。この問題は、ELEX WordPress HelpDesk & Customer Ticketing System: n/a から 3.2.7 に影響します。 | 9.9 |
CVE 2025-08-24 23:00:05.634121 |
| CVE-2025-39485 | ThemeGoods Grand Tour | Travel Agency WordPress における信頼できないデータのデシリアライズの脆弱性により、オブジェクトインジェクションが可能です。この問題は、グランドツアー|旅行会社 WordPress: n/a から 5.5.1 に影響します。 | 9.8 |
CVE 2025-08-24 23:00:05.633497 |
| CVE-2025-32292 | AncoraThemes Jarvis - Night Club, Concert, Festival WordPress における信頼できないデータのデシリアライズの脆弱性は、オブジェクトインジェクションを可能にします。この問題は、Jarvis - Night Club, Concert, Festival WordPress: n/a から 1.8.11 に影響します。 | 9.8 |
CVE 2025-08-24 23:00:05.632946 |
| CVE-2025-31914 | kamleshyadav Pixel WordPress Form BuilderPlugin & Autoresponder の SQL コマンドで使用される特殊要素の不適切な中和 ('SQL インジェクション') 脆弱性により、ブラインド SQL インジェクションが可能です。この問題は Pixel WordPress Form BuilderPlugin & Autoresponder: n/a から 1.0.2 に影響します。 | 9.3 |
CVE 2025-08-24 23:00:05.632377 |
| CVE-2025-31912 | gavias Enzio - Responsive Business WordPress Theme には、PHP プログラムの Include/Require ステートメントにおけるファイル名の不適切な制御(「PHP リモートファイルインクルージョン」)の脆弱性があり、PHP ローカルファイルインクルージョンが可能です。この問題は Enzio - Responsive Business WordPress Theme: n/a から 1.1.8 に影響します。 | 8.1 |
CVE 2025-08-24 23:00:05.631792 |
| CVE-2025-31633 | gavias Kiamo - Responsive Business Service WordPress Theme には、PHP プログラムの Include/Require ステートメントにおけるファイル名の不適切な制御 ('PHP Remote File Inclusion') の脆弱性が存在し、PHP ローカルファイルの取り込みが可能です。この問題は、Kiamo - Responsive Business Service WordPress Theme: n/a から 1.3.3 に影響します。 | 8.1 |
CVE 2025-08-24 23:00:05.630887 |
| CVE-2025-1123 | Solid Mail - SMTP email and logging made by SolidWP plugin for WordPress は、2.1.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、メール名、件名、本文を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-08-24 23:00:05.629853 |
| CVE-2025-5096 | WordPress 用 TablePress プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.1.2 までのすべてのバージョンにおいて、'data-caption'、'data-s-content-padding'、'data-s-title'、'data-footer' データ属性を介した DOM ベースの蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 6.4 |
CVE 2025-08-24 23:00:05.628756 |
| CVE-2025-4594 | WordPress 用 Tournamatch プラグインは、4.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'trn-ladder-registration-button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.628081 |
| CVE-2025-4419 | WordPress 用 Hot Random Image プラグインは、1.9.2 までのすべてのバージョンにおいて、'path' パラメータを経由した Path Traversal の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、許可された拡張子を持つ任意の画像に、本来意図されたディレクトリ以外でアクセスすることが可能になります。 | 4.3 |
CVE 2025-08-24 23:00:05.627127 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.