WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-3643 | 1.2までのNewsletter Popup WordPressプラグインは、リストを削除する際にCSRFチェックを行っていないため、攻撃者はCSRF攻撃によってログインした管理者にそのようなアクションを実行させることができる。 | 8.8 |
CVE 2024-08-24 03:00:07.773665 |
| CVE-2024-3750 | Visualizer:Visualizer: Tables and Charts Manager for WordPress プラグインは、3.10.15 までのすべてのバージョンにおいて、getQueryData() 関数の機能チェックが欠落しているため、データを不正に変更および取得される脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が任意の SQL クエリを実行することが可能となり、特権の昇格をはじめとする様々な行為に悪用される可能性があります。 | 8.8 |
CVE 2024-08-24 03:00:07.770897 |
| CVE-2024-4984 | WordPress 用 Yoast SEO プラグインは、22.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'display_name' author meta を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-23 23:00:05.583935 |
| CVE-2024-4670 | WordPress 用 All-in-One Video Gallery プラグインは、3.6.5 までのすべてのバージョンにおいて、aiovg_search_form ショートコード経由でローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これにより、アクセス制御を回避したり、機密データを取得したり、画像やその他の「安全な」ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりすることができます。 | 8.8 |
CVE 2024-08-23 09:00:07.087446 |
| CVE-2024-4702 | WordPress 用 Mega Elements プラグインは、1.2.1 までのすべてのバージョンにおいて、 ユーザーが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの Button ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-23 09:00:07.086358 |
| CVE-2024-4010 | WordPress 用 Email Subscribers by Icegram Express プラグインは、5.7.19 までのすべてのバージョンにおいて、handle_ajax_request 関数の機能チェックが欠落しているため、データへの不正アクセス、データの変更、データの消失の脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、複数の不正なアクションを実行することで、機密性、完全性、可用性の損失を引き起こすことが可能になります。これらのアクションのいくつかは、PHP オブジェクトインジェクションや SQL インジェクション攻撃にも利用可能です。 | 8.8 |
CVE 2024-08-23 09:00:07.050387 |
| CVE-2024-4636 | WordPress 用プラグイン Optimole Image Optimization by Optimole - Lazy Load, CDN, Convert WebP & AVIF には、入力のサニタイズと出力のエスケープが不十分なため、3.12.10 までのバージョンにおいて、'allow_meme_types' 関数を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-23 03:00:05.105395 |
| CVE-2024-3749 | 4.71 までの SP Project & Document Manager WordPress プラグインには適切なアクセス制御がなく、ログインしたユーザーが他のユーザーのファイルを閲覧したりダウンロードしたりすることができます。 | 6.5 |
CVE 2024-08-23 03:00:05.104833 |
| CVE-2024-3748 | 4.71までのSP Project & Document Manager WordPressプラグインは、アップロード機能のバリデーションが欠落しているため、`user_id`を操作して別のユーザーがファイルをアップロードしたように見せかけることができる。 | 6.5 |
CVE 2024-08-23 03:00:05.104209 |
| CVE-2024-3407 | 2.0.9 までの WP Prayer WordPress プラグインには CSRF チェックがない箇所があり、CSRF 攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性があります。 | 5.3 |
CVE 2024-08-23 03:00:05.103650 |
| CVE-2024-3406 | 2.0.9までのWordPressプラグイン「WP Prayer」には、メール設定の更新時にCSRFチェックが行われていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 8.8 |
CVE 2024-08-23 03:00:05.102962 |
| CVE-2024-4208 | Gutenberg Blocks with AI by Kadence WP - Page Builder Features plugin for WordPress は、3.2.37 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、高度な見出しウィジェットのタイパーエフェクトを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-23 03:00:05.102123 |
| CVE-2024-3189 | Gutenberg Blocks by Kadence Blocks - Page Builder Features plugin for WordPress は、3.2.37 までのバージョンにおいて、プラグインの 'Testimonial', 'Progress Bar', 'Lottie Animations', 'Row Layout', 'Google Maps', および 'Advanced Gallery' ブロックを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-08-23 03:00:05.099364 |
| CVE-2024-4847 | Alt Text AI - Automatically generate image alt text for SEO and accessibility plugin for WordPress is vulnerable to generic SQL Injection via 'last_post_id' parameter in the all versions up to and including, and including 1.4.9 due to insufficient escaping on the user supplied parameter and lack of preparation on the existing SQL query. このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 8.8 |
CVE 2024-08-22 23:00:06.246228 |
| CVE-2024-4734 | WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-08-22 23:00:06.245651 |
| CVE-2024-4656 | WordPress 用の Import and export users and customers プラグインは、1.26.6.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ユーザエージェントヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 4.4 |
CVE 2024-08-22 23:00:06.245058 |
| CVE-2024-4618 | Exclusive Addons for Elementor plugin for WordPress は、2.6.9.6 までのすべてのバージョンにおいて、ユーザが提供する 'url' 属性に対する入力のサニタイズと出力のエスケープが不十分なため、Team Member ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.244444 |
| CVE-2024-4373 | WordPressのSina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates)プラグインは、3.5.3までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのSina Particle Layerウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.243784 |
| CVE-2024-4199 | WordPress 用 Bulk Posts Editing For WordPress プラグインは、4.2.3 までのすべてのバージョンにおいて、プラグインの AJAX アクションの機能チェックが欠落しているため、機能への不正アクセスの脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が、対応する機能を呼び出すことが可能です。これは、投稿の作成と複製、投稿内容の検索、投稿のタクソノミーの操作につながる可能性があります。 | 4.3 |
CVE 2024-08-22 23:00:06.243120 |
| CVE-2024-4370 | WordPress 用 WPZOOM Addons for Elementor (Templates, Widgets) プラグインは、1.1.36 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェット Image Box を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.242467 |
| CVE-2024-4363 | WordPress 用 Visual Portfolio, Photo Gallery & Post Grid プラグインは、3.3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'title_tag' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.241782 |
| CVE-2024-0437 | WordPress 用プラグイン Password Protected - Ultimate Plugin to Password Protect Your WordPress Content with Ease には、2.6.6 までのすべてのバージョンにおいて、API を介した機密情報漏洩の脆弱性があります。これにより、サブスクライバー以上のアクセス権を持つ認証済みの攻撃者が、投稿タイトルとコンテンツを抽出し、プラグインのパスワード保護をバイパスすることが可能になります。 | 4.3 |
CVE 2024-08-22 23:00:06.240966 |
| CVE-2024-4666 | Borderless - Widgets, Elements, Templates and Toolkit for Elementor & Gutenberg plugin for WordPress には、1.5.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 23:00:06.238305 |
| CVE-2024-4860 | WordPress RSS Aggregator' WordPress プラグインのバージョン < 4.23.9 には、'notice_id' GET パラメータのサニタイズ不足によるクロスサイトスクリプティング (XSS) 脆弱性の影響があります。 | 5.4 |
CVE 2024-08-22 09:00:05.926010 |
| CVE-2024-4624 | The Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugins for WordPress は、5.9.20 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'eael_ext_toc_title_tag' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.925293 |
| CVE-2024-4473 | WordPress 用のプラグイン Sydney Toolbox には、"aThemes. Portfolio" ウィジェットを経由した、蓄積型クロスサイトスクリプティングの脆弱性があります:1.31までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、"Portfolio "ウィジェットを経由したストアド・クロスサイト・スクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.924546 |
| CVE-2024-4445 | WordPress 用プラグイン WP Compress - Image Optimizer [All-In-One] には、6.20.01 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、マルチサイト環境でクロスサイトスクリプティングの保存を含むプラグインの設定を編集することが可能になります。 | 6.5 |
CVE 2024-08-22 09:00:05.923933 |
| CVE-2024-4440 | 140+ Widgets | Best Addons For Elementor - FREE plugin for WordPress は、1.4.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.923351 |
| CVE-2024-4392 | Jetpack - WP Security, Backup, Speed, & Growth plugin for WordPress は、13.3.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの wpvideo ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.922768 |
| CVE-2024-4333 | WordPress 用 Sina Extension for Elementor (Slider, Gallery, Form, Modal, Data Table, Tab, Particle, Free Elementor Widgets & Elementor Templates) プラグインには、入力のサニタイズと出力のエスケープが不十分なため、3.5.3 までのバージョンにおいて、いくつかのパラメータを経由した DOM ベースのクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-22 09:00:05.922191 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.