WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-10133 | WordPress 用 URLYar URL Shortner プラグインは、1.1.0 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'urlyar_shortlink' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-21 09:00:04.968322 |
| CVE-2025-10132 | WordPress 用 Dhivehi Text プラグインは、0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'dhivehi' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-21 09:00:04.967781 |
| CVE-2025-10056 | WordPress 用 Task Scheduler プラグインは、1.6.3 までのすべてのバージョンにおいて、"Check Website" タスクを経由した Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 4.4 |
CVE 2026-01-21 09:00:04.967131 |
| CVE-2025-10051 | WordPress 用 Demo Import Kit プラグインは、1.1.0 までのすべてのバージョンにおいて、import 機能を介したファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-01-21 09:00:04.966410 |
| CVE-2025-10045 | WordPress 用 onOffice for WP-Websites プラグインは、5.7 までのすべてのバージョンにおいて、'order' パラメータを介した SQL インジェクションの脆弱性があります。 このため、エディタレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能です。 | 4.9 |
CVE 2026-01-21 09:00:04.965349 |
| CVE-2025-10041 | WordPress 用 Flex QR Code Generator プラグインは、1.2.5 までのすべてのバージョンにおいて、 thesave_qr_code_to_db() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2026-01-21 09:00:04.964805 |
| CVE-2025-10038 | WordPress 用 Binary MLM Plan プラグインは、3.0 までのすべてのバージョンにおいて、限定的な特権昇格の脆弱性があります。これは bmp_user ロールが、プラグインのフォームから登録されたすべてのユーザに manage_bmp 機能をデフォルトで付与しているためです。これにより、認証されていない攻撃者がプラグインを登録し、プラグインの設定を管理することが可能になります。 | 6.5 |
CVE 2026-01-21 09:00:04.963895 |
| CVE-2025-11501 | WordPress 用の Dynamically Display Posts プラグインは、1.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、'tax_query' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2026-01-21 09:00:04.962962 |
| CVE-2025-11161 | WordPress 用 WPBakery Page Builder プラグインには、8.6.1 までのすべてのバージョンにおいて、vc_custom_heading ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これは、許可される HTML タグの制限が不十分であることと、font_container パラメータでユーザが提供する属性のサニタイズが不適切であることが原因です。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者は、WPBakeryショートコードを使用するアクセス権を持っているユーザが悪意のあるタグとテキスト属性を持つvc_custom_headingショートコードを介して注入されたページにアクセスするたびに実行される任意のWebスクリプトを投稿に注入することが可能になります。 | 6.4 |
CVE 2026-01-21 09:00:04.962051 |
| CVE-2025-11160 | WordPress 用 WPBakery Page Builder プラグインには、8.6.1 までのすべてのバージョンにおいて、Custom JS モジュールを介した Stored Cross-Site Scripting の脆弱性があります。これは、Custom JS モジュールにおいて、ユーザが提供する JavaScript コードの入力サニタイズと出力エスケープが不十分であることが原因です。このため、投稿タイプのWPBakeryエディタへのアクセス権を持っているユーザがWPBakery Page Builder Custom JSモジュールを介して注入されたページにアクセスするたびに実行される、ページ内の任意のWebスクリプトを、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が注入することが可能になります。 | 6.4 |
CVE 2026-01-21 09:00:04.961154 |
| CVE-2025-8561 | WordPress 用 Ova Advent プラグインは、1.1.7 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズおよび出力のエスケープが不十分なため、プラグインのショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-21 09:00:04.960362 |
| CVE-2025-6042 | pebas® Lisfinity WordPress テーマプラグインで使用されている Lisfinity Core - Lisfinity Core プラグインは、1.4.0 までのすべてのバージョンにおいて特権昇格の脆弱性があります。これはプラグインがデフォルトでエディタロールを割り当てているためです。機能に関する制限は設けられていますが、API の使用は制限されていません。この脆弱性は CVE-2025-6038 と共に管理者権限を得るために利用可能です。 | 7.3 |
CVE 2026-01-21 09:00:04.958865 |
| CVE-2025-11176 | WordPress 用の Quick Featured Images プラグインは、13.7.2 までのすべてのバージョンにおいて、qfi_set_thumbnail および qfi_delete_thumbnail AJAX アクションを経由する、安全でない直接オブジェクト参照の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者が、他のユーザの投稿のフィーチャ画像を変更したり削除したりすることが可能になります。 | 4.3 |
CVE 2026-01-21 09:00:04.956805 |
| CVE-2025-10406 | 3.1以前のBlindMatrix e-Commerce WordPressプラグインは、インクルード関数/秒に渡されるパスを生成するために使用する前に、いくつかのショートコード属性を検証しないため、投稿者のような認証されたユーザーであれば、LFI攻撃を実行することができます。 | 5.5 |
CVE 2026-01-21 09:00:04.956185 |
| CVE-2025-11746 | WordPress 用 XStore テーマは、9.5.4 までの全てのバージョンにおいて、et_ajax_required_plugins_popup() 関数を経由したローカルファイル インクルード(Local File Inclusion)の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意の .php ファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、.php ファイルがアップロードされ、インクルードされる場合、アクセス制御をバイパスしたり、機密データを取得したり、コードを実行したりするために使用できます。 | 8.8 |
CVE 2026-01-21 09:00:04.954851 |
| CVE-2025-8594 | 2.5.7以前のPz-LinkCard WordPressプラグインは、パラメータへのリクエストを行う前にパラメータを検証しないため、Contributor程度のロールを持つユーザがSSRF攻撃を行える可能性があります。 | 3.8 |
CVE 2026-01-21 09:00:04.953618 |
| CVE-2025-10732 | WordPress 用プラグイン SureForms - Drag and Drop Form Builder には、1.12.1 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これは '/wp-json/sureforms/v1/srfm-global-settings' REST API エンドポイントにおける不適切なアクセス制御の実装によるものです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、Google reCAPTCHA、Cloudflare Turnstile、hCaptcha、管理者のメールアドレス、セキュリティ関連のフォーム設定の API キーなどの機密情報を取得することが可能になります。 | 4.3 |
CVE 2026-01-21 09:00:04.951695 |
| CVE-2025-10357 | 2.0.32より前のSimple SEO WordPressプラグインは、ページ内でパラメータを出力する際に、一部のパラメータをサニタイズおよびエスケープしていないため、contributor程度のロールを持つユーザーにクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 6.1 |
CVE 2026-01-21 09:00:04.938470 |
| CVE-2025-9698 | 6.3.16より前のPlus Addons for Elementor WordPressプラグインは、SVGファイルの内容をサニタイズしていません。このため、最小限のロールアクセスをAuthorとして持つユーザーに、Stored Cross-Site Scripting攻撃を許してしまう可能性があります。 | 6.8 |
CVE 2026-01-21 03:00:53.956304 |
| CVE-2025-9975 | WordPress 用 WP Scraper プラグインには、wp_scraper_extract_content 関数を経由した、5.8.1 までのすべてのバージョンにおける Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。クラウドインスタンスでは、この問題はメタデータの取得を可能にします。 | 6.8 |
CVE 2026-01-19 09:00:12.293030 |
| CVE-2025-9950 | Error Log Viewer by BestWebSoft プラグインは、1.1.6 までのすべてのバージョンにおいて、rrrlgvwr_get_file 関数を経由したディレクトリトラバーサルの脆弱性があります。これにより、Administrator レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 4.9 |
CVE 2026-01-19 09:00:12.292493 |
| CVE-2025-9947 | WordPress 用 Custom 404 Pro プラグインは、3.12.0 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、「path」パラメータを経由した時間ベースの SQL インジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2026-01-19 09:00:12.291957 |
| CVE-2025-9626 | WordPress 用 Page Blocks プラグインには、1.1.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは admin_process_widget_page_change 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、偽造されたリクエストを経由して、ウィジェット・ページ・ブロック設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.291408 |
| CVE-2025-9621 | WordPress 用 WidgetPack Comment System プラグインには、1.6.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wpcmt_request_handler関数内のwpcmt_syncアクションにおけるnonceバリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、偽造されたリクエストを経由してコメント同期イベントをトリガーすることが可能になります。 | 4.3 |
CVE 2026-01-19 09:00:12.290833 |
| CVE-2025-8682 | WordPress 用の Newsup テーマは、5.0.10 までのすべてのバージョンにおいて、 newsup_admin_info_install_plugin() 関数の機能チェックが欠落しているため、プラグインを不正にインストールされる脆弱性があります。このため、認証されていない攻撃者が ansar-import プラグインをインストールできてしまいます。 | 4.3 |
CVE 2026-01-19 09:00:12.289941 |
| CVE-2025-8606 | WordPress 用 GSheetConnector For Gravity Forms プラグインには、1.3.23 以下のバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは activate_plugin 関数と deactivate_plugin 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、攻撃者は認証済みの管理者を騙して、悪意のあるリンクをクリックしたり、危険なページにアクセスしたりするなどの偽造リクエストによって、指定されたプラグインを有効化または無効化することが可能になります。 | 2.4 |
CVE 2026-01-19 09:00:12.289413 |
| CVE-2025-8593 | WordPress 用 GSheetConnector For Gravity Forms プラグインは、1.3.27 以下のバージョンにおいて認証バイパスの脆弱性があります。これは 'install_plugin' 関数の機能チェックが欠落しているためです。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、特定の条件下で対象サイトにプラグインをインストールし、サーバ上で任意のコードを実行できる可能性があります。 | 8.8 |
CVE 2026-01-19 09:00:12.288461 |
| CVE-2025-8484 | WordPress 用 Code Quality Control Tool プラグインは、バージョン 0.1 において、一般に公開されたログファイルを通じて機密情報を暴露される脆弱性があります。これにより、認証されていない攻撃者が、公開されたログファイルに含まれる潜在的にセンシティブな情報を閲覧することが可能になります。 | 5.3 |
CVE 2026-01-19 09:00:12.287583 |
| CVE-2025-7652 | WordPress 用の Easy Plugin Stats プラグインは、2.0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'eps' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-19 09:00:12.287020 |
| CVE-2025-6439 | WordPress テーマ「Pricom - Printing Company & Design Services」で使用されている WordPress 用 WooCommerce Designer Pro プラグインは、1.9.26 までのすべてのバージョンにおいて、'wcdp_save_canvas_design_ajax' 関数のファイルパス検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のディレクトリのファイルをすべて削除することが可能となり、リモートでコードが実行されたり、データが失われたり、サイトが利用できなくなったりする可能性があります。 | 9.8 |
CVE 2026-01-19 09:00:12.286424 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.