WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-6965 | WordPress 用プラグイン Pods - Custom Content Types and Fields は、3.0.10 までのすべてのバージョン(2.7.31.2、2.8.23.2、2.9.19.2を除く)において、Missing Authorization の脆弱性があります。これは、プラグインがショートコードによるファイルインクルード機能の使用を許可していることが原因です。これにより、contributor以上のアクセス権を持つ認証された攻撃者が、ポッドとユーザ(デフォルトのロール)を作成することが可能になります。 | 4.3 |
CVE 2024-07-18 09:00:05.054657 |
| CVE-2023-6964 | WordPress 用プラグイン Gutenberg Blocks by Kadence Blocks - Page Builder Features には、3.1.26 までのすべてのバージョンにおいて、'kadence_import_get_new_connection_data' AJAX アクションを経由した Server-Side Request Forgery の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 8.5 |
CVE 2024-07-18 09:00:05.054025 |
| CVE-2023-6799 | WP Reset - Most Advanced WordPress Reset Tool plugin for WordPress には、2.0 までのすべてのバージョンにおいて、スナップショット名のランダム性が不十分なため、機密情報漏洩の脆弱性があります。このため、認証されていない攻撃者がスナップショットファイル名を総当たりすることで、サイトのバックアップを含む機密データを抽出することが可能になります。ベンダーは、この機能に関してこれ以上のハードニングを行う予定はないことに注意してください。 | 5.9 |
CVE 2024-07-18 09:00:05.053271 |
| CVE-2023-6777 | WordPress 用 WP Go Maps (旧 WP Google Maps) プラグインは、9.0.34 までのバージョンにおいて、プラグインが複数のプラグインファイルに API キーを追加しているため、認証されていない API キーが開示される脆弱性があります。これにより、認証されていない攻撃者が開発者の Google API キーを取得することが可能になります。このことは、このプラグインを使用しているサイトのセキュリティには影響しませんが、認証されていない攻撃者がこのAPIキーを使用してリクエストを行うことを可能にし、リクエストを使い果たす可能性があるため、プラグインが提供するマップ機能を使用できなくなります。 | 5.3 |
CVE 2024-07-18 09:00:05.052286 |
| CVE-2023-6694 | WordPress 用 Beaver Themer プラグインは、1.4.9 までのすべてのバージョンにおいて、ユーザが入力したカスタムフィールドの入力サニタイズと出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-18 09:00:05.051039 |
| CVE-2023-6486 | WordPress 用プラグイン Spectra - WordPress Gutenberg Blocks は、2.10.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Custom CSS メタボックスを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-18 09:00:05.050334 |
| CVE-2022-4965 | WordPress 用 CreativeMinds プラグインの Invitation Code Content Restriction Plugin には、1.5.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「target_id」パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-07-18 09:00:05.047956 |
| CVE-2024-29804 | Team Heateor Fancy Comments WordPress にウェブページ生成時の入力の不適切な中和('クロスサイトスクリプティング')の脆弱性があり、Stored XSS が可能です。この問題は Fancy Comments WordPress: n/a から 1.2.14 に影響します。 | 6.5 |
CVE 2024-07-18 03:00:09.637362 |
| CVE-2024-29771 | SoftLab Dracula Dark Mode - The Revolutionary Dark Mode Plugin For WordPress には、ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、Stored XSS が可能です。この問題は、Dracula Dark Mode - The Revolutionary Dark Mode Plugin For WordPress: n/a から 1.0.8 に影響します。 | 6.5 |
CVE 2024-07-17 23:00:05.739973 |
| CVE-2023-7164 | 4.0.4以前のBackWPup WordPressプラグインは、訪問者が進行中のバックアップに関する重要な情報を漏らすことを防いでおらず、認証されていない攻撃者がサイトのデータベースのバックアップをダウンロードすることを可能にしています。 | 7.5 |
CVE 2024-07-17 09:00:06.601378 |
| CVE-2024-29932 | この問題は、WordPress Meta Data and Taxonomies Filter (MDTF): n/a から 1.3.2 までのバージョンに影響します。 | 6.5 |
CVE 2024-07-17 03:00:04.213073 |
| CVE-2024-29906 | この問題は、WordPress Meta Data and Taxonomies Filter (MDTF): n/a から 1.3.2 までのバージョンに影響します。 | 6.5 |
CVE 2024-07-16 23:00:04.292008 |
| CVE-2022-38057 | ThemeHunk Advance WordPress Search Plugin に認証漏れの脆弱性。この問題は、Advance WordPress Search Plugin: n/a から 1.2.1 に影響します。 | 6.5 |
CVE 2024-07-16 09:00:08.363531 |
| CVE-2024-31344 | この問題は、Easy Login Styler - White Label Admin Login Page for WordPress: n/a から 1.0.6 までのバージョンに影響します。 | 5.9 |
CVE 2024-07-16 09:00:08.238171 |
| CVE-2023-6877 | RSS Aggregator by Feedzy - Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator plugin for WordPress は、4.3.3 までのすべてのバージョンにおいて、無効な RSS フィードを取得する際のエラーメッセージの Content-Type フィールドの入力サニタイズと出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 23:00:03.986483 |
| CVE-2024-2296 | WordPress 用 Photo Gallery by 10Web - Mobile-Friendly Image Gallery プラグインは、1.8.21 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2024-07-15 09:00:06.015541 |
| CVE-2024-2132 | WordPress 用 Elementor プラグイン Ultimate Bootstrap Elements には、1.4.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Image ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 09:00:06.013096 |
| CVE-2024-2458 | WordPress 用プラグイン Powerkit - Supercharge your WordPress Site には、2.9.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 03:00:25.910633 |
| CVE-2024-1428 | WordPress用のElement Pack Elementor Addons (Header Footer, Free Template Library, Grid, Carousel, Table, Parallax Animation, Register Form, Twitter Grid) プラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.5.3までのすべてのバージョンにおいて、Trailer Boxウィジェットの'element_pack_wrapper_link'属性を経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 03:00:25.910064 |
| CVE-2024-0837 | WordPress用プラグイン Element Pack Elementor Addons (Header Footer, Free Template Library, Grid, Carousel, Table, Parallax Animation, Register Form, Twitter Grid) には、入力のサニタイズと出力のエスケープが不十分なため、5.3.2までのすべてのバージョンにおいて、image URLパラメータを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 03:00:25.909483 |
| CVE-2024-2949 | WP Carousel の Carousel, Slider, Gallery - Image Carousel & Photo Gallery, Post Carousel & Post Grid, Product Carousel & Product Grid for WooCommerce plugin for WordPress には、2.6.3 までのすべてのバージョンにおいて、カルーセルウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 03:00:25.908870 |
| CVE-2024-2471 | WordPress用FooGalleryプラグインは、2.4.14までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、画像添付フィールド('Title'、'Alt Text'、'Custom URL'、'Custom Class'、'Override Type'など)を介したStored Cross-Site Scriptingの脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 6.4 |
CVE 2024-07-15 03:00:25.908255 |
| CVE-2024-3216 | WooCommerce PDF Invoices, Packing Slips, Delivery Notes and Shipping Labels plugin for WordPress は、4.4.2 までのすべてのバージョンにおいて、wt_pklist_reset_settings() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、認証されていない攻撃者がプラグインのすべての設定をリセットすることが可能です。 | 5.3 |
CVE 2024-07-15 03:00:25.907658 |
| CVE-2024-2950 | BoldGrid Easy SEO - Simple and Effective SEO plugin for WordPress には、1.6.14 までのすべてのバージョンにおいて、meta 情報 (og:description) を介した情報漏えいの脆弱性があります。 | 5.3 |
CVE 2024-07-15 03:00:25.907089 |
| CVE-2024-2656 | Email Subscribers by Icegram Express - Email Marketing, Newsletters, Automation for WordPress & WooCommerce plugin for WordPress には、5.7.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、CSV インポートを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-07-15 03:00:25.906406 |
| CVE-2024-1385 | WordPress 用 WP-Stateless - Google Cloud Storage プラグインは、3.4.0 までのすべてのバージョンにおいて dismiss_notices() 関数の機能チェックが欠落しているため、不正なデータ損失の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のオプション値を現在時刻に更新することが可能となり、サイトを完全にオフラインにしてしまう可能性があります。 | 7.1 |
CVE 2024-07-15 03:00:25.905657 |
| CVE-2024-3245 | EmbedPress - Embed PDF, Google Docs, Vimeo, Wistia, Embed YouTube Videos, Audios, Maps & Embed Any Documents in Gutenberg & Elementor plugin for WordPress には、3.9.14 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Youtube ブロックを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-15 03:00:25.903098 |
| CVE-2024-1994 | WordPress 用 Image Watermark プラグインは、1.7.3 までのすべてのバージョンにおいて、watermark_action_ajax() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、画像に透かしを適用したり削除したりすることが可能です。 | 4.3 |
CVE 2024-07-14 23:00:04.051458 |
| CVE-2023-34370 | Brainstorm Force Starter Templates - Elementor, WordPress & Beaver Builder Templates, Brainstorm Force Premium Starter Templates にサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。この問題は、Starter Templates - Elementor, WordPress & Beaver Builder Templates: n/a から 3.2.4 まで、Premium Starter Templates: n/a から 3.2.4 まで に影響します。 | 7.1 |
CVE 2024-07-14 09:00:06.914074 |
| CVE-2024-2499 | WordPress 用の Squelch Tabs and Accordions Shortcodes プラグインは、0.4.3 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'accordions' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-07-14 09:00:04.300381 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.