WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-4086 | WordPress 用プラグイン CM Tooltip Glossary - Powerful Glossary Plugin には、4.2.11 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、設定を保存する際の nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの設定を変更したり、リセットしたりすることが可能になります。 | 4.3 |
CVE 2024-08-10 09:00:05.535059 |
| CVE-2024-4085 | WordPress 用 Tabellen von faustball.com プラグインは、2.0.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-08-10 09:00:05.534157 |
| CVE-2024-4083 | WordPress 用 Easy Restaurant Table Booking プラグインは、1.0.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができ、付与された偽造リクエストによってプラグインの設定を変更することが可能です。 | 4.3 |
CVE 2024-08-10 09:00:05.533323 |
| CVE-2024-4036 | WordPress 用のプラグイン Sydney Toolbox には、1.30 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、style パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.532763 |
| CVE-2024-4034 | WordPress 用の Virtue テーマは、3.4.8 までのすべてのバージョンにおいて、ホームページ上で最新の投稿機能が有効になっている場合に入力のサニタイズと出力のエスケープが不十分なため、投稿者名を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.531833 |
| CVE-2024-4033 | WordPress 用 All-in-One Video Gallery プラグインは、3.6.4 までのすべてのバージョンにおいて、aiovg_create_attachment_from_external_image_url 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2024-08-10 09:00:05.531304 |
| CVE-2024-4003 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、5.9.15 までのすべてのバージョンにおいて、Team Members ウィジェットの eael_team_members_image_rounded パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.530424 |
| CVE-2024-4000 | WordPress Header Builder Plugin - Pearl plugin for WordPress は、1.3.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'stm_hb' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.529595 |
| CVE-2024-3991 | WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) は、2.8.7までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Horizontal Product Filterの_id属性を介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528749 |
| CVE-2024-3985 | Exclusive Addons for Elementor plugin for WordPress は、2.6.9.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Call to Action ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528220 |
| CVE-2024-3942 | MasterStudy LMS WordPress Plugin - for Online Courses and Education plugin for WordPress には、3.3.8 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、不正アクセス、改ざん、およびデータの損失が発生する脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、コースの質問、投稿タイトル、タクソノミーなどのコンテンツを読み取り、変更することが可能になります。 | 6.3 |
CVE 2024-08-10 09:00:05.527669 |
| CVE-2024-3936 | The Post Grid - Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid plugin for WordPress は、7.6.1 までのすべてのバージョンにおいて、rtTPGSaveSettings 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバアクセス以上の認証された攻撃者が、プラグインの設定を変更したり、AJAXアクションによってフックされた他の機能を呼び出したりすることが可能になります。 | 4.3 |
CVE 2024-08-10 09:00:05.527132 |
| CVE-2024-3897 | Popup Box - Best WordPress Popup Plugin プラグインは、4.3.6 までのすべてのバージョンにおいて ays_pb_create_author AJAX アクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がウェブサイトに登録されているすべての電子メールを列挙することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.526536 |
| CVE-2024-3895 | WordPress 用 WP Datepicker プラグインは、2.1.0 までのすべてのバージョンにおいて、 wpdp_add_new_datepicker_ajax() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、権限の昇格に使用可能な任意のオプションを更新することが可能となります。この問題は、2.0.9 および 2.1.0 で部分的に修正され、2.1.1 で完全に修正されました。 | 8.8 |
CVE 2024-08-10 09:00:05.525655 |
| CVE-2024-3891 | WordPress 用 Elementor プラグイン Happy Addons には、3.10.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ウィジェットの HTML タグを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.525140 |
| CVE-2024-3885 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、subcontainer の値パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.524559 |
| CVE-2024-3870 | WordPress 用プラグイン Contact Form 7 Database Addon - CFDB7 には、1.2.6.8 までのバージョンにおいて cfdb7_before_send_mail 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーによってアップロードされたファイルから、個人を特定できる情報などの機密データを抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.523936 |
| CVE-2024-3849 | WordPress 用の Click to Chat - HoliThemes プラグインは、3.35 までのすべてのバージョンにおいて、ローカルファイル包含の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードしたり する場合にコードの実行を可能にします。 | 8.8 |
CVE 2024-08-10 09:00:05.523349 |
| CVE-2024-3819 | WordPress 用の Jeg Elementor Kit プラグインは、2.6.4 までのすべてのバージョンにおいて、ユーザー提供属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの JKit - Banner ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 6.4 |
CVE 2024-08-10 09:00:05.522841 |
| CVE-2024-3747 | WordPress 用の Blocksy テーマには、2.0.39 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、About Me ブロックの className パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.522341 |
| CVE-2024-3743 | WordPress 用 Elementor Addon Elements プラグインは、1.13.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Image Stack Group、Shape Separator、Content Switcher、Info Circle、および Timeline ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入し、ユーザーが注入されたページにアクセスするたびに実行することが可能になります。 | 6.4 |
CVE 2024-08-10 09:00:05.521800 |
| CVE-2024-3729 | WordPress 用プラグイン Frontend Admin by DynamiApps には、3.19.4 までのすべてのバージョンにおいて、'fea_encrypt' 関数の暗号化例外処理が不適切であるという脆弱性があります。このため、認証されていない攻撃者が、権限昇格のために管理者ユーザーを追加・編集したり、認証回避のためにユーザーを自動的にログインさせたり、任意のウェブスクリプトを注入するために使用可能な投稿処理フォームを操作することが可能です。この問題を悪用できるのは、'openssl' php 拡張がサーバにロードされていない場合のみである。 | 9.8 |
CVE 2024-08-10 09:00:05.521264 |
| CVE-2024-3728 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.15 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分であるため、プラグインのフィルタブルギャラリーとインタラクティブサークルウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.520664 |
| CVE-2024-3725 | Otter Blocks - Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE plugin for WordPress は、2.6.9 までのすべてのバージョンにおいて、'titleTag' のようなユーザが指定した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Post Grid ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.520101 |
| CVE-2024-3724 | WordPress用プラグインHappy Addons for Elementorは、3.10.4までのすべてのバージョンにおいて、入力のサニタイズおよびユーザが提供した属性の出力エスケープが不十分なため、プラグインのImage Stack Group、Photo Stack、およびHorizontal Timelineウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.519492 |
| CVE-2024-3717 | WordPress 用 Drag and Drop Multiple File Upload - Contact Form 7 プラグインには、1.3.7.7 までのすべてのバージョンにおいて、'/wp-content/uploads/wp_dndcf7_uploads/wpcf7-files' ディレクトリを経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、フォームを通じてこのプラグイン経由でアップロードされた機密データを抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.518528 |
| CVE-2024-3715 | WordPress 用の Contact Form 7, WPforms, Elementor フォームプラグインのデータベースには、1.3.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2024-08-10 09:00:05.517893 |
| CVE-2024-3681 | WordPress 用 Interactive World Maps プラグインは、2.4.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、search (s) パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 | 6.1 |
CVE 2024-08-10 09:00:05.517058 |
| CVE-2024-3677 | WordPress 用の Ultimate 410 Gone Status Code プラグインは、1.1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、410 エントリを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.516148 |
| CVE-2024-3675 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.3.971 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Flip Carousel、Flip Box、Post Grid、および Taxonomy List ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.515585 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.