WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-11326 | WordPress 用 Campaign Monitor Forms by Optin Cat プラグインは、2.5.7 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-13 09:00:10.036040 |
| CVE-2024-12062 | Charity Addon for Elementor plugin for WordPress は、1.3.2 までのすべてのバージョンにおいて、「nacharity_elementor_template」ショートコードによる情報漏えいの脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、Elementorで作成された非公開投稿や下書き投稿から、アクセスすべきでないデータを抜き取ることが可能になってしまいます。 | 4.3 |
CVE 2025-03-13 09:00:10.035481 |
| CVE-2024-11782 | WordPress 用 WP Mailster プラグインは、1.8.17.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mst_subscribe' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 09:00:10.034958 |
| CVE-2024-11325 | WordPress 用 AWeber Forms by Optin Cat プラグインは、2.5.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 5.2 |
CVE 2025-03-13 09:00:10.034416 |
| CVE-2024-11866 | WordPress 用 BMLT Tabbed Map プラグインは、1.1.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'bmlt_tabbed_map' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 09:00:10.033716 |
| CVE-2024-11844 | WordPress 用 IdeaPush プラグインは、idea_push_taxonomy_save_routine 関数の機能チェックが 8.71 までのすべてのバージョンで欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、"boards" タクソノミーの用語を削除することが可能です。 | 4.3 |
CVE 2025-03-13 09:00:10.030732 |
| CVE-2024-10174 | WP Project Manager - Task, team, and project management plugin features kanban board and gantt charts plugin for WordPress には、2.6.13 までのすべてのバージョンにおいて、ユーザが制御するキー 'user_id' のバリデーションが欠落しているため、'Abstract_Permission' クラスを経由した Insecure Direct Object Reference の脆弱性があります。これにより、認証されていない攻撃者が管理者になりすまし、プラグインのすべての REST ルートにアクセスすることが可能になります。 | 7.3 |
CVE 2025-03-13 03:00:04.791177 |
| CVE-2024-11898 | スクラッチ&ウィン - プレゼントとコンテスト。WordPress 用の Boost subscribers, traffic, repeat visits, referrals, sales and more plugin is vulnerable to Stored Cross-Site Scripting via the plugin's 'swin-campaign' shortcode in all version up to and including 2.6.9 due to insufficient input sanitization and output escaping on user supplied attributes.これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.609030 |
| CVE-2024-11853 | WordPress 用の jAlbum Bridge プラグインは、2.0.15 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'ar' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.607588 |
| CVE-2024-11805 | WordPress 用プラグイン Quick License Manager - WooCommerce プラグインには、2.4.17 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'submit_qlm_products' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-03-13 03:00:04.606683 |
| CVE-2024-11732 | WordPress 用 BP Profile Shortcodes Extra プラグインは、2.6.0 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'tab' パラメータを経由した時間ベースの SQL インジェクションに対して脆弱です。 このため、Contributor レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加の SQL クエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-03-13 03:00:04.605104 |
| CVE-2024-11707 | WordPress 用 My auctions allegro プラグインは、3.6.17 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-13 03:00:04.604027 |
| CVE-2024-11461 | WordPress 用 Form Data Collector プラグインは、2.2.3 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-13 03:00:04.602811 |
| CVE-2024-11453 | WordPress Pinterest Plugin - Make a Popup, User Profile, Masonry and Gallery Layout plugin for WordPress には、1.8.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの 'gs_pin_widget' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.601314 |
| CVE-2024-9058 | WordPress 用 Elementor Addons (Header Footer, Template Library, Dynamic Grid & Carousel, Remote Arrows) プラグイン Element Pack には、5.10.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Lightbox ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.600419 |
| CVE-2024-10893 | 10.6.5より前のWP Booking Calendar WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)Stored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-03-13 03:00:04.596522 |
| CVE-2024-10484 | WordPress 用プラグイン Spectra - WordPress Gutenberg Blocks は、2.16.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'Team' ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.595209 |
| CVE-2024-9694 | WordPress 用 CMSMasters Elementor Addon プラグインには、1.14.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-13 03:00:04.591102 |
| CVE-2024-11034 | The Request a Quote for WooCommerce and Elementor - Get a Quote Button - Product Enquiry Form Popup - Product Quotation plugin for WordPress は、1.4 までのすべてのバージョンにおいて、fire_contact_form AJAX アクションを経由して任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-12 23:00:10.341785 |
| CVE-2024-10958 | WordPress 用 WP Photo Album Plus プラグインは、8.8.08.007 までのすべてのバージョンにおいて、 getshortcodedrenderedfenodelay AJAX アクションを経由して任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-12 09:00:06.962896 |
| CVE-2024-52479 | Ben Marshall Jobify - Job Board WordPress Theme にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は Jobify - Job Board WordPress Theme: n/a から 4.2.3 に影響します。 | 4.3 |
CVE 2025-03-12 09:00:06.834659 |
| CVE-2024-52478 | この問題は Jobify - Job Board WordPress Theme: n/a から 4.2.3 に影響を及ぼします。 | 6.5 |
CVE 2025-03-12 09:00:06.833977 |
| CVE-2024-52461 | Kinsta WordPressホスティングInfinite SliderのWebページ生成中の入力の不適切な中和('クロスサイトスクリプティング')の脆弱性は、反射されたXSSを可能にします。この問題は、n/aから2.0.1までのInfinite Sliderに影響を与えます。 | 7.1 |
CVE 2025-03-12 09:00:06.833204 |
| CVE-2024-12015 | Project Manager' WordPress プラグインは、'/pm/v2/activites' ルートの 'orderby' パラメータにある、認証された SQL インジェクションの脆弱性の影響を受けます。 | 7.7 |
CVE 2025-03-12 09:00:06.830627 |
| CVE-2024-10261 | WordPress 用の The Paid Membership Subscriptions - Effortless Memberships, Recurring Payments & Content Restriction プラグインは、2.13.0 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-12 03:00:07.881138 |
| CVE-2024-10899 | WordPress 用 WooCommerce Product Table Lite プラグインは、3.8.6 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。同じ'id'パラメータには、Reflected Cross-Site Scriptingの脆弱性もあります。 | 7.3 |
CVE 2025-03-11 23:00:07.126869 |
| CVE-2024-10078 | WordPress 用 WP Easy Post Types プラグインは、1.4.4 までのすべてのバージョンにおいて、複数の機能に関するケイパビリティチェックが欠落しているため、不正なアクセス、変更、データの損失に対して脆弱です。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインのオプションや投稿を追加、変更、削除することが可能です。 | 7.3 |
CVE 2025-03-11 09:00:06.107581 |
| CVE-2024-10640 | The FOX - Currency Switcher Professional for WooCommerce plugin for WordPress には、1.4.2.2 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-11 03:00:06.020452 |
| CVE-2020-36840 | WordPress 用 MotoPress プラグイン Timetable and Event Schedule には、2.3.8 までのバージョンにおいて、nopriv AJAX アクション経由で呼び出される wp_ajax_route_url() 関数の機能チェックが欠落しているため、認証バイパスされる脆弱性があります。このため、認証されていない攻撃者がこの関数を呼び出し、ランダムなテンプレートや悪意のあるウェブスクリプトの注入など、さまざまなアクションを実行することが可能です。 | 7.3 |
CVE 2025-03-10 23:00:08.257369 |
| CVE-2024-10263 | Tickera - WordPress Event Ticketing プラグインは、3.5.4.4 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-10 09:00:09.976794 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.