WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-2839 | WordPress 用 WP Import Export Lite プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.9.27 までのすべてのバージョンにおいて、'wpiePreviewData' 関数を介した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-31 03:00:03.799367 |
| CVE-2025-2594 | 4.1.3 より前の WordPress プラグイン User Registration & Membership は、Membership Addon が有効な場合に AJAX アクションのデータを適切に検証しないため、攻撃者は対象のアカウントのユーザー ID を使用するだけで、管理者を含む任意のユーザーとして認証することができます。 | 8.1 |
CVE 2025-07-31 03:00:03.798533 |
| CVE-2024-13569 | 3.2.32までのFront End Users WordPressプラグインは、ページにパラメータを出力する前に、パラメータをサニタイズおよびエスケープしていません。 | 7.1 |
CVE 2025-07-31 03:00:03.797536 |
| CVE-2025-3616 | Greenshift - animation and page builder blocks plugin for WordPress は、バージョン 11.4 から 11.4.5 の gspb_make_proxy_api_request() 関数でファイルタイプの検証を欠落させているため、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。この任意のファイルのアップロードは 11.4.5 で十分に修正されましたが、11.4.6 では無許可の限定的なファイルのアップロードを適切に防止するための機能チェックが追加されました。 | 8.8 |
CVE 2025-07-31 03:00:03.793773 |
| CVE-2025-3661 | WordPress 用 SB Chart block プラグインは、1.2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'className' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-28 09:00:09.004110 |
| CVE-2025-3404 | WordPress 用 Download Manager プラグインには、3.3.12 までのすべてのバージョンにおいて、 savePackage 関数におけるファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者がサーバー上の任意のファイルを削除することが可能で、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 8.8 |
CVE 2025-07-28 03:00:15.673709 |
| CVE-2021-4455 | Wordpress Plugin Smart Product Review プラグインは、1.0.4 までのすべてのバージョンにおいて、ファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-07-28 03:00:15.672848 |
| CVE-2025-3809 | WordPress 用 Debug Log Manager プラグインは、2.3.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、デバッグログの自動更新を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-07-28 03:00:15.672026 |
| CVE-2025-3275 | WordPress 用 Themesflat Addons For Elementor プラグインは、2.2.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、TF E Slider ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-28 03:00:15.667563 |
| CVE-2025-1457 | Element Pack Addons for Elementor - Free Templates and Widgets for Your WordPress Websites プラグインは、5.10.28 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Wrapper Link、Countdown、Gallery ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-28 03:00:15.666853 |
| CVE-2025-1093 | WordPress 用 AIHub テーマは、1.3.7 までのすべてのバージョンにおいて、generate_image 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-07-28 03:00:15.665794 |
| CVE-2025-3284 | WordPress 用の User Registration & Membership - Custom Registration Form, Login Form, User Profile プラグインは、5.1.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは user_registration_pro_delete_account() 関数の nonce バリデーションが欠けているか、正しくないことに起因します。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる付与された偽造リクエストを介して、管理者を含むユーザを強制的に削除することが可能になります。 | 4.3 |
CVE 2025-07-28 03:00:15.664996 |
| CVE-2025-3278 | WordPress 用 UrbanGo Membership プラグインは、1.0.4 までのバージョンにおいて特権昇格の脆弱性があります。これは、このプラグインが新規アカウントを登録するユーザが自分のロールを設定したり、'user_register_role' フィールドを与えることを許可しているためです。このため、認証されていない攻撃者が管理者ロールのアカウントを作成することで、昇格した特権を得ることが可能です。 | 9.8 |
CVE 2025-07-28 03:00:15.664111 |
| CVE-2025-3106 | WordPress用プラグインLA-Studio Element Kit for Elementorは、1.4.9までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの目次ウィジェットを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-27 09:00:05.914725 |
| CVE-2025-3056 | WordPress 用 Download Manager プラグインは、3.3.12 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 5.4 |
CVE 2025-07-27 09:00:05.911991 |
| CVE-2025-3598 | Coupon Affiliates - Affiliate Plugin for WooCommerce plugin for WordPress には、.6.3.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、commission_summary パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-07-27 03:00:04.917449 |
| CVE-2025-2162 | 2.94.10 より前の MapPress Maps for WordPress プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-07-27 03:00:04.913950 |
| CVE-2025-3520 | WordPress 用 Avatar プラグインは、0.1.4 までのすべてのバージョンにおいて、関数内のファイルパスの検証 が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がサーバー上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 8.1 |
CVE 2025-07-26 23:00:05.252611 |
| CVE-2025-2613 | WordPress 用のプラグイン Login Manager - Design Login Page, View Login Activity, Limit Login Attempts には、入力のサニタイズと出力のエスケープが不十分なため、2.0.5 までのすべてのバージョンにおいて、カスタムロゴと背景 URL を介した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-07-26 23:00:05.251446 |
| CVE-2024-13650 | WordPress 用 Piotnet Addons For Elementor プラグインは、2.4.34 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'PAFE Before After Image Comparison Slider' ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-07-26 23:00:05.228841 |
| CVE-2025-39431 | Aaron Forgue Amazon Showcase WordPress プラグインにクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、蓄積型 XSS が可能です。この問題は Amazon Showcase WordPress Plugin: n/a から 2.2 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.285426 |
| CVE-2025-39417 | Eslam Mahmoud Redirect wordpress to welcome or landing page に CSRF (Cross-Site Request Forgery) 脆弱性があり、Stored XSS を許しています。この問題は、Redirect wordpress to welcome or landing page: n/a から 2.0 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.284504 |
| CVE-2025-32630 | CMSJunkie - WordPress Business Directory プラグイン WP-BusinessDirectory には、Web ページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') 脆弱性があり、Reflected XSS を許してしまいます。この問題は WP-BusinessDirectory: n/a から 3.1.2 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.284019 |
| CVE-2025-32592 | RealMag777 TableOn - WordPress Posts Table Filterable に、ウェブページ生成時の入力の不適切な中和(「クロスサイトスクリプティング」)の脆弱性(Stored XSS)が存在します。この問題は、TableOn - WordPress Posts Table Filterable: n/a から 1.0.3 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.283502 |
| CVE-2025-32520 | M. Ali Saleem 氏の WordPress Health and Server Condition - Integrated with Google Page Speed には、ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、Reflected XSS を許しています。この問題は、WordPress Health and Server Condition - Integrated with Google Page Speed: n/a から 4.1.1 に影響を及ぼします。 | 7.1 |
CVE 2025-07-26 09:00:05.282978 |
| CVE-2025-27291 | uxgallery WordPress Photo Gallery - Image Gallery には、Web ページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、Reflected XSS を許しています。この問題は、WordPress Photo Gallery - Image Gallery: n/a から 2.0.4 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.282404 |
| CVE-2025-24651 | WebToffee WordPress Backup & Migration におけるログファイルへの機密情報挿入の脆弱性により、埋め込まれた機密データの取得が可能になります。この問題は、WordPress Backup & Migration: n/a から 1.5.3 に影響します。 | 5.9 |
CVE 2025-07-26 09:00:05.281848 |
| CVE-2025-24548 | Autoglot - WordPress 自動翻訳における、ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性により、Reflected XSS が可能です。この問題は Autoglot - WordPress 自動翻訳: n/a から 2.4.7 に影響します。 | 7.1 |
CVE 2025-07-26 09:00:05.281258 |
| CVE-2025-23906 | wpseek WordPress Dashboard Tweeter に認可漏れの脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は、n/a から 1.3.2 までの WordPress Dashboard Tweeter に影響します。 | 6.5 |
CVE 2025-07-26 09:00:05.280285 |
| CVE-2025-3487 | Forminator Forms - Contact Form, Payment Form & Custom Form Builder プラグインは、1.42.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'limit' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-26 09:00:05.279391 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.