WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-4281 | WordPress 用 Link Library プラグインは、7.6.11 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'link-library' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-16 09:00:05.742867 |
| CVE-2024-4135 | WordPress 用 WP Latest Posts プラグインは、5.0.7 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode の呼び出しでその値を使用する前に、ユーザが提供した値を適切に検証しないアクションの実行をプラグインが許可していることが原因です。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 5.4 |
CVE 2024-08-16 09:00:05.742089 |
| CVE-2024-34573 | Pootlepress Pootle Pagebuilder - WordPress Page builder におけるウェブページ生成時の入力の不適切な中和('クロスサイトスクリプティング')の脆弱性 この問題は、Pootle Pagebuilder - WordPress Page builder: n/a から 5.7.1 に影響します。 | 6.5 |
CVE 2024-08-16 09:00:05.739522 |
| CVE-2024-3494 | WordPress 用 Mesmerize Companion プラグインは、1.6.148 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mesmerize_contact_form' ショートコードを介した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-16 03:00:05.457993 |
| CVE-2024-32674 | Heateor Social Login WordPress 1.1.32 以前には、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性が悪用された場合、本製品を使用してウェブサイトにアクセスしたユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。 | 5.4 |
CVE 2024-08-16 03:00:05.456863 |
| CVE-2024-4393 | WordPress 用の Social Connect プラグインには、1.2 までのバージョンで認証バイパスの脆弱性があります。これは、プラグインを介したソーシャルログイン中に提供されるOpenIDサーバーの検証が不十分なためです。このため、認証されていない攻撃者は、電子メールにアクセスすることができれば、管理者など、サイトの既存のユーザーとしてログインすることが可能です。 | 9.8 |
CVE 2024-08-16 03:00:05.453099 |
| CVE-2023-6810 | WordPress 用 ClickCease Click Fraud Protection プラグインは、3.2.4 までのすべてのバージョンにおいて、get_settings 関数の機能チェックが不適切なため、データへの不正アクセスの脆弱性があります。このため、作者以上のアクセス権を持つ認証済みの攻撃者が、プラグインの設定済み API キーを取得することが可能です。 | 4.3 |
CVE 2024-08-15 09:00:04.292442 |
| CVE-2024-4346 | WordPress 用 Startklar Elementor Addons プラグインは、1.7.13 までのすべてのバージョンにおいて、任意のファイルを削除される脆弱性があります。これは、アップロードされたファイルを削除する前に、プラグインがそのファイルのパスを適切に検証しないことが原因です。これにより、認証されていない攻撃者が wp-config.php ファイルを含む任意のファイルを削除することが可能となり、サイトの乗っ取りやリモートコードの実行が可能となります。 | 9.1 |
CVE 2024-08-15 09:00:04.291575 |
| CVE-2024-4345 | WordPress 用 Startklar Elementor Addons プラグインは、1.7.13 までのバージョンにおいて、'startklarDropZoneUploadProcess' クラスの 'process' 関数のファイルタイプ検証が不十分なため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2024-08-15 09:00:04.288780 |
| CVE-2024-4186 | WordPress 用 Build App Online プラグインは、3.0.5 までのバージョンにおいて、認証バイパスの脆弱性があります。これは、'eb_user_email_verification_key' のデフォルト値が空であり、'eb_user_email_verify' 関数に空でないことのチェックが欠けているためです。このため、未認証の攻撃者は、ユーザーIDにアクセスできれば、管理者などのサイト上の既存ユーザーとしてログインすることが可能です。これは、'Email Verification' 設定が有効になっている場合にのみ悪用可能です。 | 9.8 |
CVE 2024-08-15 03:00:09.333925 |
| CVE-2023-6854 | WordPress 用 Breakdance プラグインは、1.7.0 までのすべてのバージョンにおいて、ユーザが提供した post meta フィールドの入力サニタイズと出力エスケープが不十分なため、プラグインのカスタム postmeta 出力を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-14 09:00:04.305432 |
| CVE-2024-3756 | 1.2.1までのMF Gig Calendar WordPressプラグインには、CSRFチェックがない箇所があり、CSRF攻撃により、ログインしているコントリビューター以上に任意のイベントを削除させられる可能性がある。 | 7.5 |
CVE 2024-08-14 03:00:05.521687 |
| CVE-2024-1050 | WordPress 用の Import and export users and customers プラグインは、1.26.5 までのすべてのバージョンにおいて、ajax_force_reset_password_delete_metas() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が、強制的にリセットされたパスワードをすべて削除することが可能になります。 | 4.3 |
CVE 2024-08-12 03:00:04.616802 |
| CVE-2023-7065 | WordPress 用の Stop Spammers Security | Block Spam Users, Comments, Forms プラグインは、2024.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは sfs_process AJAX アクションの nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを経由して、プラグインの許可リストとブロックリストに任意の IP を追加することが可能になります。 | 5.4 |
CVE 2024-08-12 03:00:04.616109 |
| CVE-2024-3240 | WordPress 用 ConvertPlug プラグインは、3.5.25 までのすべてのバージョンにおいて、ショートコード 'smile_info_bar' の 'settings_encoded' 属性からの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP Object を注入することが可能となります。脆弱なプラグインには POP チェーンは存在しません。対象のシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 | 8.8 |
CVE 2024-08-12 03:00:04.615326 |
| CVE-2024-3237 | WordPress 用 ConvertPlug プラグインは、3.5.25 までのすべてのバージョンにおいて、 cp_dismiss_notice() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のオプション値を true に更新することが可能になります。 | 5.4 |
CVE 2024-08-12 03:00:04.614530 |
| CVE-2024-3868 | WordPress 用 Folders Pro プラグインは、3.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ユーザの First Name と Last Name を介した Stored Cross-Site Scripting の脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-08-12 03:00:04.611929 |
| CVE-2024-33937 | Nico Martin Progressive WordPress (PWA) に認証欠落の脆弱性。この問題は、n/a から 2.1.13 までの Progressive WordPress (PWA) に影響します。 | 4.3 |
CVE 2024-08-11 09:00:03.323922 |
| CVE-2024-33931 | ilGhera JW Player for WordPress に認証漏れの脆弱性。この問題は、JW Player for WordPress の n/a から 2.3.3 に影響します。 | 6.5 |
CVE 2024-08-11 09:00:03.320991 |
| CVE-2024-33941 | Avirtum iPanorama 360 WordPressバーチャルツアービルダーに認証欠落の脆弱性。この問題はiPanorama 360 WordPressバーチャルツアービルダー:n/aから1.8.1に影響します。 | 5.3 |
CVE 2024-08-11 03:00:04.482178 |
| CVE-2024-4439 | WordPress Core は、6.5.2 までの様々なバージョンにおいて、表示名の出力エスケープが不十分なため、アバターブロックのユーザー表示名を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。さらに、コメント・ブロックが存在し、コメント作成者のアバターを表示するページにおいて、認証されていない攻撃者が任意のウェブ・スクリプトを注入することも可能になります。 | 7.2 |
CVE 2024-08-11 03:00:04.479937 |
| CVE-2024-3692 | 1.9.1以前のGutenverse WordPressプラグインは、ブロックの様々なhtmlTagオプションを、ブロックが埋め込まれているページ/投稿に出力する前に検証しないため、contributorロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 6.1 |
CVE 2024-08-11 03:00:04.476462 |
| CVE-2024-4334 | WordPress 用プラグイン Supreme Modules Lite - Divi Theme, Extra Theme and Divi Builder には、入力のサニタイズと出力のエスケープが不十分なため、2.5.3 までのバージョンにおいて、'typing_cursor' パラメータを介した DOM ベースのクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.540737 |
| CVE-2024-4324 | WordPress 用 WP Video Lightbox プラグインは、1.9.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'width' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.540182 |
| CVE-2024-4265 | WordPress 用 Elementor プラグイン Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations には、入力のサニタイズと出力のエスケープが不十分なため、2.0.5.9 までのバージョンにおいて、'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.539325 |
| CVE-2024-4203 | WordPress 用 Elementor プラグイン Premium Addons Pro には、4.10.30 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、maps ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、プラグインのプレミアムバージョンを実行しているサイトにのみ影響することに注意してください。 | 5.4 |
CVE 2024-08-10 09:00:05.538590 |
| CVE-2024-4156 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.17 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'eael_event_text_color' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.537610 |
| CVE-2024-4133 | ARMember - WordPress 用のメンバーシップ・プラグイン、コンテンツ制限、メンバー・レベル、ユーザー・プロフィール、ユーザー登録プラグインは、4.0.30 までのすべてのバージョンにおいて Open Redirect の脆弱性があります。これは redirect_to パラメータで提供されるリダイレクト URL の検証が不十分なためです。これにより、認証されていない攻撃者がユーザーを騙してアクションを実行させることに成功した場合、潜在的に悪意のあるサイトにリダイレクトさせることが可能になります。 | 6.1 |
CVE 2024-08-10 09:00:05.537044 |
| CVE-2024-4097 | WordPress 用の Cost Calculator Builder プラグインは、3.1.67 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG アップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2024-08-10 09:00:05.536148 |
| CVE-2024-4092 | WordPress 用 Slider Revolution プラグインは、入力のサニタイズと出力のエスケープが不十分なため、6.7.7 までのすべてのバージョンにおいて、'htmltag' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。デフォルトでは、これは管理者のみが悪用可能ですが、Slider Revolutionの使用および設定機能を作者に拡張することができます。 | 6.4 |
CVE 2024-08-10 09:00:05.535598 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.