WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-5029 | 1.2.4より前のCM Table Of Contents WordPressプラグインは、設定を更新する際にCSRFチェックを行っておらず、サニタイズとエスケープが欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 4.8 |
CVE 2025-03-01 09:00:05.398949 |
| CVE-2024-11456 | WordPress 用の ContestsWP プラグインによるコンテスト、ラッフル、プレゼントの実行には、2.0.3 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.398341 |
| CVE-2024-11455 | WordPress 用 Include Mastodon Feed プラグインは、1.9.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'include-mastodon-feed' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.397696 |
| CVE-2024-11447 | The Community by PeepSo - Download from PeepSo.com plugin for WordPress is vulnerable to the Reflected Cross-Site Scripting via 'filter' parameter in all versions up to and including 6.4.6.2 due to insufficient input sanitization and output escaping.これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.397082 |
| CVE-2024-11440 | WordPress 用の Grey Owl Lightbox プラグインは、1.6.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'gol_button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.396502 |
| CVE-2024-11438 | WordPress 用 StreamWeasels Online Status Bar プラグインは、2.1.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'sw-status-bar' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.395911 |
| CVE-2024-11435 | WordPress 用の salavat counter Plugin プラグインは、0.9.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.395284 |
| CVE-2024-11432 | WordPress 用 SuevaFree Essential Kit プラグインは、1.1.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分なため、プラグインの 'counter' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.394709 |
| CVE-2024-11428 | WordPress 用の Lazy load videos and sticky control プラグインは、3.0.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'lazy-load-videos-and-sticky-control' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.394148 |
| CVE-2024-11424 | WordPress 用の Slick Sitemap プラグインは、2.0.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'slick-sitemap' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.393582 |
| CVE-2024-11416 | WordPress 用 WIP Incoming Lite プラグインは、1.1.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、save_option() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.393006 |
| CVE-2024-11414 | WordPress 用 RecipePress Reloaded プラグインは、2.12.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Recipe Ingredients を介した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.392449 |
| CVE-2024-11412 | WordPress 用 Shine PDF Embeder プラグインは、1.0 までのすべてのバージョンにおいて、ユーザが提供する属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'shinepdf' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.391876 |
| CVE-2024-11388 | The Dino Game - Embed Google Chrome Dinosaur Game in WordPress plugin for WordPress は、1.1.0 までのすべてのバージョンにおいて、プラグインの 'dino-game' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.390760 |
| CVE-2024-11385 | WordPress 用 Pure CSS Circle Progress bar プラグインは、1.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'circle_progress' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.390241 |
| CVE-2024-11371 | Theater for WordPress プラグインは、0.18.6.2 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.389705 |
| CVE-2024-11370 | WordPress 用 Subaccounts for WooCommerce プラグインは、1.6.0 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.389170 |
| CVE-2024-11365 | WordPress 用 Crypto and DeFi Widgets - Web3 Cryptocurrency Shortcodes プラグインは、1.1.6 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.388614 |
| CVE-2024-11360 | WordPress 用 Page Parts プラグインは、1.4.3 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.388037 |
| CVE-2024-11354 | WordPress用Ultimate YouTube Video & Shorts Player With Vimeoプラグインは、3.3までのすべてのバージョンにおいて、del_ytsingvid()関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、単一のプレイリストを削除することが可能です。 | 4.3 |
CVE 2025-03-01 09:00:05.387448 |
| CVE-2024-11334 | WordPress 用 My Contador lesr プラグインは、2.0 までのすべてのバージョンで exportar_registros() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がユーザーデータをエクスポートすることが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.386846 |
| CVE-2024-11197 | WordPress 用 Lock User Account プラグインは、1.0.5 までのすべてのバージョンにおいて、ユーザーロックバイパスに対する脆弱性があります。これは、ユーザーアカウントがロックされているときにアプリケーションパスワードによるログインを許可しているためです。これにより、アカウントがロックされているにもかかわらず、既存のアプリケーションパスワードを持つ認証済みの攻撃者が、XML-RPC や REST などの API 経由で脆弱なサイトとやりとりすることが可能になります。 | 4.2 |
CVE 2025-03-01 09:00:05.386145 |
| CVE-2024-10898 | WordPress 用 Contact Form 7 Email Add on プラグインには、1.9 までのすべてのバージョンにおいて cf7_email_add_on_add_admin_template() 関数によるローカルファイル取り込みの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ、 認証された攻撃者がサーバー上の任意の PHP ファイルをインクルードして実行することが可能となり、 ファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 php ファイルがアップロードされインクルードされた場合にコードを実行したりするために使用されます。 | 8.8 |
CVE 2025-03-01 09:00:05.385591 |
| CVE-2024-10890 | WordPress 用 WPAdverts - Classifieds Plugin プラグインは、2.1.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg と remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.385087 |
| CVE-2024-10796 | WordPress 用の If-So Dynamic Content Personalization プラグインは、1.9.2.1 までのすべてのバージョンにおいて、どの投稿を含めることができるかの制限が不十分なため、'ifso-show-post' ショートコードによる情報暴露の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、Elementor を介して作成された非公開の投稿や下書きの投稿から、アクセスすべきでないデータを抽出することが可能になってしまいます。 | 4.3 |
CVE 2025-03-01 09:00:05.384533 |
| CVE-2024-10792 | The Easiest Funnel Builder For WordPress & WooCommerce by WPFunnels plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、3.5.5 までのすべてのバージョンにおいて、'post_id' パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブ・スクリプトを注入して実行することが可能になります。この問題は 3.5.4 で部分的に修正され、3.5.5 で完全に修正されました。 | 6.1 |
CVE 2025-03-01 09:00:05.383876 |
| CVE-2024-10785 | Gutenberg Blocks with AI by Kadence WP - Page Builder Features plugin for WordPress は、3.3.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「カウントダウン」ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.382431 |
| CVE-2024-10782 | WordPress 用の Theme Builder For Elementor プラグインは、1.2.2 までのすべてのバージョンにおいて、どの投稿を含めることができるかの制限が不十分であるため、'elementor-template' ショートコードを経由した情報漏えいの脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、Elementor で作成された非公開の投稿や下書きの投稿から、アクセスすべきでないデータを引き出すことが可能です。 | 4.3 |
CVE 2025-03-01 09:00:05.381608 |
| CVE-2024-10726 | WordPress 用 Friendly Functions for Welcart プラグインには、1.2.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、設定更新機能における nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.381035 |
| CVE-2024-10696 | WordPress 用 UltraAddons - Elementor Addons (Header Footer Builder, Custom Font, Custom CSS, Woo Widget, Menu Builder, Anywhere Elementor Shortcode) プラグインは、1.1.8 までのすべてのバージョンにおいて、show_template 経由で、ユーザが制御するキーのバリデーションが欠落しているため、Insecure Direct Object Reference の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、下書き、非公開、保留中の投稿の内容を公開することが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.380477 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.