WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-3991 WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) は、2.8.7までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Horizontal Product Filterの_id属性を介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.528749
CVE-2024-3985 Exclusive Addons for Elementor plugin for WordPress は、2.6.9.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Call to Action ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.528220
CVE-2024-3942 MasterStudy LMS WordPress Plugin - for Online Courses and Education plugin for WordPress には、3.3.8 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、不正アクセス、改ざん、およびデータの損失が発生する脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、コースの質問、投稿タイトル、タクソノミーなどのコンテンツを読み取り、変更することが可能になります。 6.3 CVE
2024-08-10 09:00:05.527669
CVE-2024-3936 The Post Grid - Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid plugin for WordPress は、7.6.1 までのすべてのバージョンにおいて、rtTPGSaveSettings 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバアクセス以上の認証された攻撃者が、プラグインの設定を変更したり、AJAXアクションによってフックされた他の機能を呼び出したりすることが可能になります。 4.3 CVE
2024-08-10 09:00:05.527132
CVE-2024-3897 Popup Box - Best WordPress Popup Plugin プラグインは、4.3.6 までのすべてのバージョンにおいて ays_pb_create_author AJAX アクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がウェブサイトに登録されているすべての電子メールを列挙することが可能になります。 5.3 CVE
2024-08-10 09:00:05.526536
CVE-2024-3895 WordPress 用 WP Datepicker プラグインは、2.1.0 までのすべてのバージョンにおいて、 wpdp_add_new_datepicker_ajax() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、権限の昇格に使用可能な任意のオプションを更新することが可能となります。この問題は、2.0.9 および 2.1.0 で部分的に修正され、2.1.1 で完全に修正されました。 8.8 CVE
2024-08-10 09:00:05.525655
CVE-2024-3891 WordPress 用 Elementor プラグイン Happy Addons には、3.10.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ウィジェットの HTML タグを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.525140
CVE-2024-3885 WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、subcontainer の値パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.524559
CVE-2024-3870 WordPress 用プラグイン Contact Form 7 Database Addon - CFDB7 には、1.2.6.8 までのバージョンにおいて cfdb7_before_send_mail 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーによってアップロードされたファイルから、個人を特定できる情報などの機密データを抽出することが可能になります。 5.3 CVE
2024-08-10 09:00:05.523936
CVE-2024-3849 WordPress 用の Click to Chat - HoliThemes プラグインは、3.35 までのすべてのバージョンにおいて、ローカルファイル包含の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードしたり する場合にコードの実行を可能にします。 8.8 CVE
2024-08-10 09:00:05.523349
CVE-2024-3819 WordPress 用の Jeg Elementor Kit プラグインは、2.6.4 までのすべてのバージョンにおいて、ユーザー提供属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの JKit - Banner ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 6.4 CVE
2024-08-10 09:00:05.522841
CVE-2024-3747 WordPress 用の Blocksy テーマには、2.0.39 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、About Me ブロックの className パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.522341
CVE-2024-3743 WordPress 用 Elementor Addon Elements プラグインは、1.13.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Image Stack Group、Shape Separator、Content Switcher、Info Circle、および Timeline ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入し、ユーザーが注入されたページにアクセスするたびに実行することが可能になります。 6.4 CVE
2024-08-10 09:00:05.521800
CVE-2024-3729 WordPress 用プラグイン Frontend Admin by DynamiApps には、3.19.4 までのすべてのバージョンにおいて、'fea_encrypt' 関数の暗号化例外処理が不適切であるという脆弱性があります。このため、認証されていない攻撃者が、権限昇格のために管理者ユーザーを追加・編集したり、認証回避のためにユーザーを自動的にログインさせたり、任意のウェブスクリプトを注入するために使用可能な投稿処理フォームを操作することが可能です。この問題を悪用できるのは、'openssl' php 拡張がサーバにロードされていない場合のみである。 9.8 CVE
2024-08-10 09:00:05.521264
CVE-2024-3728 Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.15 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分であるため、プラグインのフィルタブルギャラリーとインタラクティブサークルウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.520664
CVE-2024-3725 Otter Blocks - Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE plugin for WordPress は、2.6.9 までのすべてのバージョンにおいて、'titleTag' のようなユーザが指定した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Post Grid ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.520101
CVE-2024-3724 WordPress用プラグインHappy Addons for Elementorは、3.10.4までのすべてのバージョンにおいて、入力のサニタイズおよびユーザが提供した属性の出力エスケープが不十分なため、プラグインのImage Stack Group、Photo Stack、およびHorizontal Timelineウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.519492
CVE-2024-3717 WordPress 用 Drag and Drop Multiple File Upload - Contact Form 7 プラグインには、1.3.7.7 までのすべてのバージョンにおいて、'/wp-content/uploads/wp_dndcf7_uploads/wpcf7-files' ディレクトリを経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、フォームを通じてこのプラグイン経由でアップロードされた機密データを抽出することが可能になります。 5.3 CVE
2024-08-10 09:00:05.518528
CVE-2024-3715 WordPress 用の Contact Form 7, WPforms, Elementor フォームプラグインのデータベースには、1.3.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 7.2 CVE
2024-08-10 09:00:05.517893
CVE-2024-3681 WordPress 用 Interactive World Maps プラグインは、2.4.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、search (s) パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 6.1 CVE
2024-08-10 09:00:05.517058
CVE-2024-3677 WordPress 用の Ultimate 410 Gone Status Code プラグインは、1.1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、410 エントリを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.516148
CVE-2024-3675 WordPress 用 Royal Elementor Addons and Templates プラグインは、1.3.971 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Flip Carousel、Flip Box、Post Grid、および Taxonomy List ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.515585
CVE-2024-3674 WordPress 用の Inline Google Spreadsheet Viewer プラグインは、0.13.2 までのすべてのバージョンにおいて、'chart_resolution' のようなユーザが指定した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'gdoc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.514672
CVE-2024-3670 WordPress 用の Leaflet Maps Marker (Google Maps, OpenStreetMap, Bing Maps) プラグインは、3.12.8 までのすべてのバージョンにおいて、'mapwidthunit' のようなユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mapsmarker' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.513763
CVE-2024-3650 ElementsKit Elementor addons plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、バージョン 3.0.7 から 3.1.2 のすべてにおいて、Image Accordion ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-08-10 09:00:05.513254
CVE-2024-3649 Contact Form by WPForms - Drag & Drop Form Builder for WordPress プラグインは 1.8.7.2 までのバージョンにおいて価格操作の脆弱性があります。これはいくつかの商品パラメータにコントロールがないためです。これにより、認証されていない攻撃者が Stripe 支払い統合経由で購入した商品の価格、商品情報、数量を操作することが可能になります。 5.3 CVE
2024-08-10 09:00:05.512696
CVE-2024-3647 WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの投稿ティッカーウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題を悪用するには、プラグインのプレミアムバージョンをインストールして有効化する必要があります。 6.4 CVE
2024-08-10 09:00:05.512130
CVE-2024-3607 WordPress 用 PropertyHive プラグインは、2.0.12 までのすべてのバージョンにおいて delete_key_date() 関数の機能チェックが欠落しているため、不正にデータを失う脆弱性があります。このため、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の投稿を削除することが可能です。 4.3 CVE
2024-08-10 09:00:05.511644
CVE-2024-3606 WordPress 用 ProfileGrid - User Profiles, Memberships, Groups and Communities プラグインは、5.8.3 までのすべてのバージョンにおいて pm_upload_cover_image 関数の機能チェックが欠落しているため、データを不正に削除される脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が添付ファイルを削除することが可能です。 4.3 CVE
2024-08-10 09:00:05.511139
CVE-2024-3601 Poll Maker - Best WordPress Poll Plugin プラグインは、5.1.8 までのすべてのバージョンで ays_poll_create_author 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がメールアドレスを1文字ずつ列挙して抽出することが可能になります。 5.3 CVE
2024-08-10 09:00:05.510599
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.