WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-7168 | 8.0までのBetter Follow Button for Jetpack WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.481044 |
| CVE-2023-7088 | Add SVG Support for Media Uploader | inventivo WordPress plugin through 1.0.5 は、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザーが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.480396 |
| CVE-2023-7086 | 2.1.1までのSVG Uploads Support WordPressプラグインは、アップロードされたSVGファイルをサニタイズしないため、Author程度のロールを持つユーザがXSSペイロードを含む悪意のあるSVGをアップロードできる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.479252 |
| CVE-2023-6786 | 2.0.1までのPayment Gateway for Telcell WordPressプラグインは、ユーザーをその値にリダイレクトする前にapi_urlパラメータを検証しないため、Open Redirect問題が発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.478639 |
| CVE-2023-6783 | WolfNet IDX for WordPressプラグイン1.19.1では、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.477611 |
| CVE-2023-6541 | 1.2.0より前のAllow SVG WordPressプラグインは、アップロードされたSVGファイルをサニタイズしないため、Author程度のロールを持つユーザがXSSペイロードを含む悪意のあるSVGをアップロードできる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.476470 |
| CVE-2023-6030 | 1.1.4以前のLogDash Activity Log WordPressプラグインは、ログインに失敗したログをデータベースに記録するためにwp_login_failed関数(src/Hooks/Users.php)をフックしていますが、SQLリクエストを実行する際にユーザー名をエスケープしないため、SQLインジェクションの脆弱性があり、認証されていない攻撃者が時間ベースのテクニックを使用して悪用することができます。 | 5.4 |
CVE 2025-08-23 09:00:08.474920 |
| CVE-2023-5934 | Travelpayouts:1.1.13以前のWordPressプラグインでは、v1から設定をインポートする際にCSRFチェックが行われていないため、ログインした管理者がCSRF攻撃によって一部の設定を更新させられる可能性があります。 | 7.3 |
CVE 2025-08-23 09:00:08.473913 |
| CVE-2023-5932 | Travelpayouts:1.1.14以前のWordPressプラグインでは、パラメータをページ内に出力する前にサニタイズおよびエスケープを行っていないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 4.8 |
CVE 2025-08-23 09:00:08.472900 |
| CVE-2023-5529 | 8.0.6以前のAdvanced Page Visit Counter WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.471518 |
| CVE-2023-2334 | 1.4以前のWordPressプラグイン「edd-google-sheet-connector-pro」、1.6.6以前のWordPressプラグイン「Easy Digital Downloads Google Sheet Connector」は、アクセスコードの更新時にCSRFチェックを行っていないため、CSRF攻撃によりログインした管理者に任意のアクセスコードに変更させられる可能性がある。 | 5.4 |
CVE 2025-08-23 09:00:08.469906 |
| CVE-2025-4564 | WordPress 用 TicketBAI Facturas para WooCommerce プラグインは、3.18 までのすべてのバージョンにおいて、'delpdf' アクションによるファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。このため、認証されていない攻撃者がサーバ上の任意のファイルを削除することが可能で、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 9.8 |
CVE 2025-08-23 09:00:08.450328 |
| CVE-2025-2802 | WordPress 用 LayoutBoxx プラグインは、0.3.1 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-23 03:00:07.061302 |
| CVE-2025-3742 | 2.5.1以前のResponsive Lightbox & Gallery WordPressプラグインでは、ページ/投稿に出力する前に属性の一部を検証およびエスケープしていないため、コントリビューターロール以上のユーザーが、保存型クロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.8 |
CVE 2025-08-23 03:00:05.675581 |
| CVE-2025-3053 | UiPress lite|Effortless custom dashboards, admin themes and pages plugin for WordPress には、3.5.07 までのすべてのバージョンにおいて、 uip_process_form_input() 関数を経由したリモートコード実行の脆弱性があります。これは、この関数がユーザから提供された入力を受け取り、任意のデータで任意の関数を実行するためであり、いかなる種類の能力チェックもありません。このため、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者は、サーバ上で任意のコードを実行することが可能です。 | 8.8 |
CVE 2025-08-23 03:00:05.673706 |
| CVE-2025-4591 | WordPress 用 Weluka Lite プラグインは、1.0.3 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'weluka-map' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-23 03:00:05.672338 |
| CVE-2025-4589 | WordPress 用 Bon Toolkit プラグインは、1.3.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分であるため、プラグインの 'bt-map' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-23 03:00:05.670919 |
| CVE-2025-4126 | WordPress用EG-Seriesプラグインは、2.1.1までのすべてのバージョンにおいて、ショートコード[series]ショートコードを経由したStoredクロスサイトスクリプティングの脆弱性があります。このため、Classic Editorプラグインが有効になっているサイトにおいて、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、titletag属性に任意のJavaScriptコードを注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-23 03:00:05.668680 |
| CVE-2025-3917 | WordPress用の百度站长SEO合集(支持百度/神马/Bing/头条推送)プラグインは、2.0.6までの全てのバージョンにおいて、download_remote_image_to_media_library関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。0.6.これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-08-23 03:00:05.663812 |
| CVE-2024-13738 | The Motors - Car Dealer, Rental & Listing WordPress の WordPress テーマは、5.6.65 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 *この問題がどのバージョンで修正されたかは、変更履歴からは正確には不明です。そのため、検証時点の最新バージョンを使用しています。 | 7.3 |
CVE 2025-08-22 23:00:12.159935 |
| CVE-2025-4179 | WordPress 用 Flynax Bridge プラグインには、2.2.0 までのすべてのバージョンにおいて registerUser() 関数の機能チェックが欠落しているため、限定的な特権昇格の脆弱性があります。これにより、認証されていない攻撃者が新しいユーザーアカウントを作者として登録することが可能になります。 | 7.3 |
CVE 2025-08-22 09:00:10.624573 |
| CVE-2025-3769 | WordPress 用の LatePoint - Calendar Booking Plugin for Appointments and Events プラグインは、5.1.92 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'view_booking_summary_in_lightbox' 経由で安全でない直接オブジェクト参照の脆弱性があります。これにより、認証されていない攻撃者が顧客名やメールアドレスなどの予約の詳細を取得することが可能になります。 | 5.3 |
CVE 2025-08-22 09:00:08.214413 |
| CVE-2024-8988 | PeepSo Core:WordPress 用の File Uploads プラグインには、6.4.6.0 までのすべてのバージョンにおいて、file_download REST API エンドポイントを経由する、安全でない直接オブジェクト参照の脆弱性があります。これにより、認証されていない攻撃者が他のユーザがアップロードしたファイルをダウンロードし、潜在的に機密性の高い情報を公開することが可能になります。 | 5.3 |
CVE 2025-08-22 09:00:08.213248 |
| CVE-2024-13940 | WordPress 用 Ninja Forms Webhooks プラグインは、3.0.7 までのすべてのバージョンにおいて、フォーム Webhook 機能を経由した Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 5.5 |
CVE 2025-08-22 09:00:08.209872 |
| CVE-2025-2801 | The Create custom forms for WordPress with a smart form plugin for smart businesses plugin for WordPress には、1.2.4 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-22 03:00:06.335271 |
| CVE-2025-4520 | WordPress 用 Uncanny Automator プラグインは、6.4.0.2 までのバージョンにおいて、複数の AJAX 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーレベル以上の権限を持つ、認証された攻撃者がプラグインの設定を更新することが可能になります。 | 5.4 |
CVE 2025-08-22 03:00:05.385916 |
| CVE-2025-3623 | WordPress 用 Uncanny Automator プラグインには、6.4.0.1 までのすべてのバージョンにおいて、 automator_api_decode_message() 関数内で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない PHP オブジェクトをインジェクションすることが可能となります。さらに POP チェーンが存在すると、攻撃者は任意のファイルを削除することができます。 | 9.1 |
CVE 2025-08-22 03:00:05.286661 |
| CVE-2025-2803 | WordPress 用の So-Called Air Quotes プラグインは、0.1 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-21 23:00:04.228174 |
| CVE-2025-4474 | WordPress 用の Frontend Dashboard プラグインは、バージョン 1.0 から 2.2.7 までの、 fed_admin_setting_form_function() 関数の機能チェックの欠落により、 特権昇格の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証された攻撃者が、プラグインの 'register' ロール設定を上書きして、新規ユーザ登録をデフォルトで管理者ロールにすることが可能となり、管理者権限への昇格につながります。 | 8.8 |
CVE 2025-08-21 03:00:05.155932 |
| CVE-2025-4473 | WordPress 用の Frontend Dashboard プラグインは、バージョン 1.0 から 2.2.7 までの ajax_request() 関数の機能チェックが欠落しているため、特権昇格の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインが送信する電子メールの場所を制御することが可能になります。SMTPを自分自身のサーバに向けることで、攻撃者は管理者向けのパスワードリセットの電子メールを捕捉し、サイトの完全な乗っ取りのために権限を昇格させることができる。 | 8.8 |
CVE 2025-08-21 03:00:05.154719 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.