WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13690 | WordPress 用 WP Church Donation プラグインは、1.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかの寄付フォーム送信パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-07-03 09:00:10.262539 |
| CVE-2024-11087 | WordPress 用 miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) Pro Addon プラグインは、200.3.9 までのすべてのバージョンにおいて、認証バイパスの脆弱性があります。これは、ソーシャルログイントークンによって返されるユーザの検証が不十分なためです。このため、認証されていない攻撃者は、ユーザ名にアクセスでき、ユーザがトークンを返すサービスの既存のアカウントを持っていない場合、サイトの管理者などの既存のユーザとしてログインすることが可能です。 | 8.1 |
CVE 2025-07-03 03:00:05.520101 |
| CVE-2025-2252 | Easy Digital Downloads - eCommerce Payments and Subscriptions made easy plugin for WordPress には、3.3.6.1 までのすべてのバージョンにおいて、edd_ajax_get_download_title() 関数を経由した Sensitive Information Exposure の脆弱性があります。これにより、認証されていない攻撃者がダウンロードのプライベートな投稿タイトルを抽出することが可能になります。ここでの影響は最小限です。 | 5.3 |
CVE 2025-07-03 03:00:05.348361 |
| CVE-2025-1320 | WordPress 用 teachPress プラグインは、9.0.9 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、import.php ページでの nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができ、付与された偽造リクエストを介してインポートを削除することが可能になります。 | 4.3 |
CVE 2025-07-03 03:00:05.347441 |
| CVE-2024-12623 | WordPress 用 DICOM Support プラグインは、0.10.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'dcm' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-03 03:00:05.346360 |
| CVE-2025-2224 | Directorist:WordPress 用の AI-Powered Business Directory Plugin with Classified Ads Listings プラグインは、8.2 までのすべてのバージョンにおいて、'parse_query' 関数の機能チェックが欠落しているため、不正アクセスやデータの改ざんの可能性があります。これにより、認証されていない攻撃者が任意の投稿の post_status を 'publish' に更新することが可能になります。 | 5.3 |
CVE 2025-07-03 03:00:05.345479 |
| CVE-2025-1452 | 2.3.5以前のFavorites WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.344553 |
| CVE-2025-0845 | WordPress 用 DesignThemes Core Features プラグインは、4.8 までのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-07-03 03:00:05.343659 |
| CVE-2024-9770 | 16.26.12より前のWP-Recall WordPressプラグインは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を実行できる。 | 4.7 |
CVE 2025-07-03 03:00:05.342623 |
| CVE-2024-13863 | 4.1以前のStylish Google Sheet Reader 4.0 WordPressプラグインでは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしていないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 | 7.1 |
CVE 2025-07-03 03:00:05.341567 |
| CVE-2024-13617 | 0.1.0までのaoa-downloadable WordPressプラグインは、そのダウンロード関数のパラメータを検証しておらず、認証されていない攻撃者がサーバから任意のファイルをダウンロードすることを許している。 | 8.6 |
CVE 2025-07-03 03:00:05.339579 |
| CVE-2024-13123 | 1.100.0より前のAFI WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.338628 |
| CVE-2024-13122 | 1.100.0より前のAFI WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.337524 |
| CVE-2024-13118 | 2.4.1以前のIP Based Login WordPressプラグインにはCSRFチェックがない箇所があり、攻撃者はCSRF攻撃によってログインしたユーザーにすべてのログを削除させることができる。 | 4.3 |
CVE 2025-07-03 03:00:05.336646 |
| CVE-2024-12769 | 3.0.4より前のSimple Banner WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.335785 |
| CVE-2024-12682 | 1.5.2以前のSmart Maintenance Mode WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.334518 |
| CVE-2024-12109 | 1.5.9以前のWordPressプラグインProduct Labels For Woocommerce (Sale Badges)は、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 | 4.1 |
CVE 2025-07-03 03:00:05.333065 |
| CVE-2024-11503 | 2.2.7以前のWordPressプラグインWP Tabsは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-07-03 03:00:05.332129 |
| CVE-2024-11273 | 2.6.0以前のPirateForms WordPressプラグインによるContact Form & SMTP Plugin for WordPressは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.330890 |
| CVE-2024-11272 | 2.6.0以前のPirateForms WordPressプラグインによるContact Form & SMTP Plugin for WordPressは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.329621 |
| CVE-2024-10703 | 2.13.4より前のRegistrations for Events Calendar WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-07-03 03:00:05.328464 |
| CVE-2024-10679 | 9.2.1より前のQuiz and Survey Master (QSM) WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.327134 |
| CVE-2024-10638 | 1.5.11以前のWordPressプラグインProduct Labels For Woocommerce (Sale Badges)は、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 | 4.1 |
CVE 2025-07-03 03:00:05.326182 |
| CVE-2024-10566 | 1.2.62より前のSlider by 10Web WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.325187 |
| CVE-2024-10565 | 1.2.62より前のSlider by 10Web WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-07-03 03:00:05.323767 |
| CVE-2024-10560 | 1.15.30 より前の Form Maker by 10Web WordPress プラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored クロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.322826 |
| CVE-2024-10554 | 3.3.9.3より前のWordPress WP-Advanced-Searchプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-07-03 03:00:05.321220 |
| CVE-2024-10472 | 7.1.12より前のStylish Price List WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2025-07-03 03:00:05.319810 |
| CVE-2024-10105 | 2.7.11より前のJob Postings WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2025-07-03 03:00:05.315555 |
| CVE-2025-1717 | WordPress 用 Login Me Now プラグインは、1.7.2 までのバージョンにおいて認証バイパスの脆弱性があります。これは、'AutoLogin::listen()' 関数の任意の一時的な名前に基づく安全でない認証によるものです。このため、認証されていない攻撃者が、サイトの既存ユーザー(管理者であっても)にログインすることが可能になってしまいます。注意: この脆弱性は、他のソフトウェアからトランジェント名と値を使用する必要があるため、プラグイン単体では本質的に脆弱ではありません。 | 8.1 |
CVE 2025-07-02 23:00:09.333813 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.