WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-3268 YouTube Video Gallery by YouTube Showcase - Video Gallery Plugin for WordPress プラグインは、3.3.6 までのすべてのバージョンにおいて、emd_form_builder_lite_submit_form 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が任意の投稿やページを作成することが可能になります。 5.3 CVE
2024-08-29 09:00:06.045307
CVE-2024-4876 HT Mega - Absolute Addons For Elementor plugin for WordPress は、2.5.2 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'popover_header_text' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.044527
CVE-2024-4619 WordPress 用 Elementor Website Builder - More than Just a Page Builder プラグインは、3.21.4 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'hover_animation' パラメータを介した DOM-Based Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.043752
CVE-2024-4361 WordPress 用 Page Builder by SiteOrigin プラグインは、2.29.15 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'siteorigin_widget' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.043049
CVE-2024-4700 WP Table Builder - WordPress Table Plugin プラグインは、1.4.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、button 要素を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。デフォルトでは、この問題を悪用できるのは管理者のみですが、WP Table Builder を使用および設定する機能を貢献者に拡張することができます。 6.4 CVE
2024-08-29 09:00:06.042277
CVE-2024-4695 WordPress 用の Move Addons for Elementor プラグインには、1.3.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.041520
CVE-2024-4553 WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、7.1.5 までのすべてのバージョンにおいて、ユーザが提供する 'color' 属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'su_members' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.040675
CVE-2024-4875 HT Mega - Absolute Addons For Elementor plugin for WordPress は、2.5.2 までのバージョンにおいて、'ajax_dismiss' 関数のケイパビリティチェックが欠落しているため、不正なデータ改変|データ損失の脆弱性があります。このため、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、users_can_register などのオプションを更新することが可能となり、不正なユーザ登録につながる可能性があります。 4.3 CVE
2024-08-29 09:00:06.039826
CVE-2024-4566 WordPress 用 ShopLentor プラグインは、2.8.8 までのすべてのバージョンで ajax_dismiss 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPressの任意のオプションを "true "に設定することが可能となります。注意: この脆弱性は、(1) WooCommerce プラグインが無効化されているか、(2) 認証済みユーザーに対してデフォルトの WordPress 管理ダッシュボードへのアクセスが明示的に有効化されている場合に、購読者レベルまたは顧客レベル以上のアクセス権を持つ攻撃者に悪用される可能性があります。 7.1 CVE
2024-08-29 09:00:06.038898
CVE-2024-3345 WordPress 用 ShopLentor プラグインは、2.8.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの woolentorsearch ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 09:00:06.036423
CVE-2024-4710 WordPress 用 UberMenu プラグインは、3.8.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの ubermenu-col、ubermenu_mobile_close_button、ubermenu_toggle、ubermenu-search ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 03:00:07.434599
CVE-2024-4470 WordPress 用の Master Slider - Responsive Touch Slider プラグインは、3.9.9 までのすべてのバージョンにおいて、ユーザが提供する 'tag_name' 属性の入力サニタイズと出力エスケープが不十分なため、プラグインの 'ms_slide_info' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 03:00:07.433785
CVE-2024-4442 WordPress 用の Salon booking system プラグインは、9.8 までのすべてのバージョンにおいて、 任意のファイルを削除する脆弱性があります。これは、アップロードされたファイルを削除する前に、プラグインがそのファイルのパスを適切に検証しないためです。これにより、認証されていない攻撃者が wp-config.php ファイルを含む任意のファイルを削除することが可能となり、サイトの乗っ取りやリモートコードの実行が可能となります。 9.1 CVE
2024-08-29 03:00:07.433101
CVE-2024-4290 Sailthru Triggermail WordPressプラグイン1.1は、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 7.1 CVE
2024-08-29 03:00:07.432373
CVE-2024-4943 WordPress 用の Blocksy テーマは、2.0.46 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分であるため、「has_field_link_rel」パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 03:00:07.431587
CVE-2024-3155 WordPress 用の Post Grid, Form Maker, Popup Maker, WooCommerce Blocks, Post Blocks, Post Carousel - Combo Blocks プラグインは、2.2.80 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかのパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-29 03:00:07.428996
CVE-2024-5088 WordPress 用 Elementor プラグイン Happy Addons には、入力のサニタイズと出力のエスケープが不十分なため、3.10.8 までのすべてのバージョンにおいて、'_id' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 09:00:05.050475
CVE-2024-4432 WordPress 用 Piotnet Addons For Elementor プラグインは、2.4.26 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 09:00:05.047621
CVE-2024-4698 WordPress 用 Testimonial Carousel For Elementor プラグインは、10.1.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'show_line_text ' および 'slide_button_hover_animation' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.860857
CVE-2024-2782 Fluent Forms による WordPress 用 Contact Form Plugin for Quiz, Survey, Drag & Drop WP Form Builder プラグインは、5.1.16 までのすべてのバージョンにおいて、/wp-json/fluentform/v1/global-settings REST API エンドポイントのケイパビリティチェックが欠けているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がプラグインのすべての設定を変更することが可能になります。 7.5 CVE
2024-08-26 03:00:04.860048
CVE-2024-2772 Fluent Forms による WordPress 用 Contact Form プラグイン (Quiz, Survey, Drag & Drop WP Form Builder プラグイン) には、入力のサニタイズと出力のエスケープが不十分なため、5.1.13 までのすべてのバージョンにおいて、フォーム設定を経由した Stored Cross-Site Scripting の脆弱性があります。このため、Fluent Forms の設定にアクセスできる認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。これは、CVE-2024-2771 と連鎖して、低特権ユーザが悪意のあるウェブスクリプトを注入することができます。 6.4 CVE
2024-08-26 03:00:04.859181
CVE-2024-2771 Fluent Forms による WordPress 用のクイズ、アンケート、ドラッグ&ドロップ WP Form Builder プラグインの Contact Form Plugin には、5.1.16 までのすべてのバージョンにおいて /wp-json/fluentform/v1/managers REST API エンドポイントにおけるケイパビリティチェックの欠落により、特権昇格の脆弱性があります。このため、認証されていない攻撃者が Fluent Form の管理権限を持つユーザに、プラグインのすべての設定と機能へのアクセスを許可することが可能になってしまいます。これは認証されていない攻撃者が管理者アカウントを削除することを可能にします。 9.8 CVE
2024-08-26 03:00:04.858236
CVE-2024-4849 WordPress のプラグイン WordPress Automatic Plugin には、入力のサニタイズと出力のエスケープが不十分なため、3.94.0 までのすべてのバージョンにおいて、'autoplay' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.857297
CVE-2024-3812 WordPress 用の Salient Core プラグインは、2.0.7 までのすべてのバージョンにおいて、ショートコード 'nectar_icon' の 'icon_linea' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を迂回したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりするために使用できます。 7.5 CVE
2024-08-26 03:00:04.856420
CVE-2024-3811 WordPress用のSalient Shortcodesプラグインは、1.5.3までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの'icon'ショートコードを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.855623
CVE-2024-3810 WordPress 用の Salient Shortcodes プラグインは、1.5.3 までのすべてのバージョンにおいて、'icon' ショートコードの 'image' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりするために使用できます。 8.8 CVE
2024-08-26 03:00:04.854762
CVE-2024-4891 WordPress 用プラグイン Essential Blocks - Page Builder Gutenberg Blocks, Patterns & Templates には、4.5.12 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tagName' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.853875
CVE-2024-4374 WordPress 用 DethemeKit For Elementor プラグインは、2.1.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.853035
CVE-2024-3714 GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、3.10.0 までのすべてのバージョンにおいて、レガシーなフォームで使用された場合、プラグインの 'give_form' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.851959
CVE-2024-4865 WordPress 用 Elementor プラグイン Happy Addons には、入力のサニタイズと出力のエスケープが不十分なため、3.10.8 までのすべてのバージョンにおいて、'_id' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-26 03:00:04.849023
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.