WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-39351 | ThemeGoods Grand Restaurant WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は、Grand Restaurant WordPress: n/a から 7.0 に影響します。 | 4.3 |
CVE 2025-08-24 23:00:05.597791 |
| CVE-2025-2561 | 3.10.1 より前の Ninja Forms WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を行える可能性があります。 | 4.8 |
CVE 2025-08-24 23:00:05.596826 |
| CVE-2025-2560 | 3.10.1 より前の Ninja Forms WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を行える可能性があります。 | 4.8 |
CVE 2025-08-24 23:00:05.596273 |
| CVE-2025-2524 | 3.10.1 より前の Ninja Forms WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を行える可能性があります。 | 4.8 |
CVE 2025-08-24 23:00:05.595733 |
| CVE-2025-1627 | Qi Blocks WordPressプラグイン1.4以前のバージョンでは、ブロックを埋め込むページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしていないため、投稿者ロール以上のユーザが、蓄積型クロスサイトスクリプティング攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-24 23:00:05.594776 |
| CVE-2025-1626 | Qi Blocks WordPressプラグイン1.4以前のバージョンでは、カウントダウンブロックオプションの一部を、ブロックが埋め込まれているページ/投稿に出力する前にバリデーションおよびエスケープしていないため、コントリビューターロール以上のユーザがストアドクロスサイトスクリプティング攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-24 23:00:05.593813 |
| CVE-2025-1625 | Qi Blocks WordPressプラグイン1.4以前のバージョンでは、カウンタブロックオプションの一部が、ブロックが埋め込まれているページ/投稿に出力される前に検証およびエスケープされないため、コントリビュータロール以上のユーザがストアドクロスサイトスクリプティング攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-24 23:00:05.593249 |
| CVE-2025-2892 | All in One SEO - Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic plugin for WordPress は、4.8.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、投稿の Meta Description と Canonical URL パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.592627 |
| CVE-2025-3715 | WordPress 用 Bold Page Builder プラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.3.5 までのすべてのバージョンにおいて、data-text パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.591612 |
| CVE-2025-4101 | WordPress 用 MultiVendorX - WooCommerce Multivendor Marketplace Solutions プラグインは、4.2.22 までのすべてのバージョンにおいて、'delete_fpm_product' 関数の設定ミスによるケイパビリティチェックにより、不正なデータ損失の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の投稿、ページ、添付ファイル、および製品を削除することが可能です。この脆弱性はバージョン4.2.22で部分的に修正されました。 | 4.3 |
CVE 2025-08-24 23:00:05.590112 |
| CVE-2025-4669 | WordPress 用 WP Booking Calendar プラグインは、10.11.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wpbc ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.588790 |
| CVE-2025-3888 | WordPress 用 Jupiter X Core プラグインは、4.8.12 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルをインクルードすることによる Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能であり、ユーザが含まれる SVG ファイルでページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.587792 |
| CVE-2025-3527 | WordPress用のEventON Proプラグインは、4.9.6までのすべてのバージョンにおいて、'assets/lib/settings/settings.js'ファイルの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブ・スクリプトをページに注入することが可能です。この脆弱性はバージョン 4.9.6 で部分的に修正されました。 | 6.4 |
CVE 2025-08-24 23:00:05.586347 |
| CVE-2024-13613 | WordPress 用 Wise Chat プラグインは、3.3.3 までのすべてのバージョンにおいて、'uploads' ディレクトリを経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、チャットメッセージに含まれる添付ファイルを含む可能性のある、/wp-content/uploads ディレクトリに安全に保存されていない機密データを抽出することが可能になります。この脆弱性はバージョン 3.3.3 で部分的に修正されました。 | 7.5 |
CVE 2025-08-24 23:00:05.585759 |
| CVE-2025-4610 | WordPress 用 WP-Members Membership Plugin プラグインは、3.5.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの wpmem_user_memberships ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 23:00:05.585132 |
| CVE-2025-4391 | WordPress 用 Echo RSS Feed Post Generator プラグインは、5.4.8.1 までのすべてのバージョンにおいて、 echo_generate_featured_image() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-08-24 23:00:05.584257 |
| CVE-2025-4190 | 1.2 までの CSV Mass Importer WordPress プラグインは、アップロードされたファイルを適切に検証しないため、管理者のような高い権限を持つユーザーが、許可されていないはずの任意のファイルをサーバーにアップロードできてしまいます(マルチサイト設定など)。 | 7.2 |
CVE 2025-08-24 23:00:05.582339 |
| CVE-2025-3812 | WordPress 用 WPBot Pro Wordpress Chatbot プラグインは、13.6.2 までのすべてのバージョンにおいて、qcld_openai_delete_training_file() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.phpなど)が削除されると、リモートでコードが実行される可能性があります。 | 8.1 |
CVE 2025-08-24 23:00:05.581053 |
| CVE-2025-4194 | WordPress 用 AlT Monitoring プラグインは、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'ALT_Monitoring_edit' ページにおける nonce バリデーションの欠落または不正確さが原因です。これにより、認証されていない攻撃者が設定を更新したり、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを介して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-08-24 23:00:05.580047 |
| CVE-2025-4189 | WordPress 用 Audio Comments Plugin プラグインには、1.0.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'audio-comments/audior-settings.php' ページにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造リクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-08-24 23:00:05.573777 |
| CVE-2022-4363 | 2.2.2以前のWholesale Market WordPressプラグイン、2.0.1以前のWholesale Market for WooCommerce WordPressプラグインには、設定を更新する際のCSRFチェックに欠陥があり、CSRF攻撃によってログインした管理者に設定を更新させられる可能性がある。 | 6.5 |
CVE 2025-08-24 09:00:08.079810 |
| CVE-2025-47556 | QuanticaLabs CSS3 Compare Pricing Tables for WordPress に認可の欠落の脆弱性があり、不正に設定されたアクセスコントロールセキュリティレベルを悪用されます。この問題は、CSS3 Compare Pricing Tables for WordPress: n/a から 11.5 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.076490 |
| CVE-2025-47534 | ValvePress Wordpress Auto Spinner に、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性がある脆弱性(Missing Authorization)が存在します。この問題は、n/a から 3.25.0 までの Wordpress Auto Spinner に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.074937 |
| CVE-2025-32306 | LambertGroup Radio Player Shoutcast & Icecast WordPress プラグインに、SQL コマンドで使用される特殊要素の不適切な中和 ('SQL インジェクション') の脆弱性があり、ブラインド SQL インジェクションが可能です。この問題は、Radio Player Shoutcast & Icecast WordPress Plugin: n/a から 4.4.6 に影響します。 | 8.5 |
CVE 2025-08-24 09:00:08.073071 |
| CVE-2025-32295 | Wordpresschef Salon Booking Pro には、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性がある認証漏れの脆弱性があります。この問題は、Salon Booking Pro: n/a から 10.10.2 に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.072091 |
| CVE-2025-32180 | QuanticaLabs CSS3 Tooltips for WordPress に認証欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は CSS3 Tooltips for WordPress: n/a から 1.8 に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.071468 |
| CVE-2025-31923 | QuanticaLabs CSS3 Accordions for WordPress に認可の欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は CSS3 Accordions for WordPress: n/a から 3.0 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.070881 |
| CVE-2025-31922 | QuanticaLabs CSS3 Accordions for WordPress に CSRF (Cross-Site Request Forgery) 脆弱性があり、Stored XSS が可能です。この問題は CSS3 Accordions for WordPress: n/a から 3.0 に影響します。 | 7.1 |
CVE 2025-08-24 09:00:08.070251 |
| CVE-2025-31915 | kamleshyadav Pixel WordPress Form BuilderPlugin & Autoresponder には、クロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。この問題は Pixel WordPress Form BuilderPlugin & Autoresponder: n/a から 1.0.2 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.069070 |
| CVE-2025-31640 | LambertGroup Magic Responsive Slider and Carousel WordPress に SQL インジェクションの脆弱性が存在します。この問題は Magic Responsive Slider and Carousel WordPress: n/a から 1.4 に影響します。 | 8.5 |
CVE 2025-08-24 09:00:08.059960 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.