WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-0369 | WordPress 用 JetEngine プラグインは、3.6.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'list_tag' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.096855 |
| CVE-2024-13519 | WordPress 用プラグイン MarketKing - Ultimate WooCommerce Multivendor Marketplace Solution には、入力のサニタイズと出力のエスケープが不十分なため、1.9.80 までのすべてのバージョンにおいて、プラグインの設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、ショップマネージャーレベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-04-28 03:00:09.096254 |
| CVE-2024-13517 | Easy Digital Downloads - eCommerce Payments and Subscriptions made easy plugin for WordPress は、3.3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Title 値を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-04-28 03:00:09.095650 |
| CVE-2024-13433 | WordPress 用 Utilities for MTG プラグインは、1.4.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mtglink' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.094973 |
| CVE-2024-13432 | WordPress 用 Webcamconsult プラグインは、1.5.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、関数におけるnonceの検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-28 03:00:09.094288 |
| CVE-2024-13393 | WordPress 用の Video Share VOD - Turnkey Video Site Builder Script プラグインは、2.6.31 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'videowhisper_videos' ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.093593 |
| CVE-2024-13391 | MicroPayments - Fans Paysite:WordPress 用の Paid Creator Subscriptions, Digital Assets, Tokens Wallet プラグインは、2.9.29 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'videowhisper_content_upload_guest' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.092897 |
| CVE-2024-13385 | WordPress 用の JSM Screenshot Machine Shortcode プラグインは、2.3.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'ssm' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.092301 |
| CVE-2024-13317 | WordPress 用 ShipWorks Connector for Woocommerce プラグインには、5.2.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'shipworks-wordpress' ページで nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを介して、サービスのユーザー名とパスワードを更新することが可能になります。 | 4.3 |
CVE 2025-04-28 03:00:09.091674 |
| CVE-2024-12696 | WordPress 用プラグイン Picture Gallery - Frontend Image Uploads, AJAX Photo List には、1.5.22 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分であるため、プラグインの videowhisper_picture_upload_guest ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-28 03:00:09.090956 |
| CVE-2024-12385 | WordPress 用 WP Abstracts プラグインには、2.7.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wpabstracts_load_status() および wpabstracts_delete_abstracts() 関数で nonce バリデーションが欠落しているためです。このため、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックさせるなどのアクションを実行させるために、 偽装されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-28 03:00:09.090193 |
| CVE-2025-0554 | WordPress 用 Podlove Podcast Publisher プラグインは、バージョン <= 4.1.25 において、入力のサニタイズと出力のエスケープが不十分なため、Feed Name 値を介した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-04-28 03:00:09.089520 |
| CVE-2025-0318 | WordPress 用プラグイン Ultimate Member - User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin には、2.9.1 までのすべてのバージョンにおいて、レスポンスに含まれるさまざまなエラーメッセージを介した情報漏えいの脆弱性があります。これにより、認証されていない攻撃者が wp_usermeta テーブルからデータを流出させる可能性があります。 | 5.3 |
CVE 2025-04-28 03:00:09.088833 |
| CVE-2024-9020 | 0.90.3以前のList category posts WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 | 5.4 |
CVE 2025-04-28 03:00:09.087101 |
| CVE-2024-13516 | WordPress 用 Kubio AI Page Builder プラグインは、2.3.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「message」パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-28 03:00:09.086087 |
| CVE-2024-13515 | WordPress 用の Image Source Control Lite - Show Image Credits and Captions プラグインは、2.28.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'path' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-28 03:00:09.085014 |
| CVE-2024-12071 | WordPress 用プラグイン Evergreen Content Poster - Auto Post and Schedule Your Best Content to Social Media には、1.4.4 までのすべてのバージョンにおいて、delete_network_post() 関数の機能チェックが欠落しているため、不正にデータを消失させられる脆弱性があります。これにより、認証されていない攻撃者が任意の投稿やページを削除することが可能になります。 | 5.3 |
CVE 2025-04-28 03:00:09.082346 |
| CVE-2024-13378 | WordPress 用 Gravity Forms プラグインは、2.9.0.1 から 2.9.1.3 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、 'style_settings' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページ内に注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この攻撃はChromeウェブブラウザでのみ成功し、添付ファイルポスト経由でメディアファイルを直接閲覧する必要があります。 | 5.4 |
CVE 2025-04-27 09:00:08.467084 |
| CVE-2024-13377 | WordPress 用 Gravity Forms プラグインは、2.9.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'alt' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-04-27 09:00:08.466325 |
| CVE-2024-12370 | WordPress 用 WP Hotel Booking プラグインは、2.1.5 までのすべてのバージョンにおいて、部屋を追加する際のケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がカスタム価格の部屋を追加することが可能になります。 | 5.3 |
CVE 2025-04-27 09:00:08.463558 |
| CVE-2024-13386 | WordPress 用の quote-posttype-plugin プラグインは、1.2.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、 Author フィールドを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-27 03:00:05.939320 |
| CVE-2024-13367 | WordPress 用 Sandbox プラグインは、0.4 までのすべてのバージョンで export_download アクションの機能チェックが欠落しているため、不正アクセスに対して脆弱です。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、wp-config.php ファイルのような機密情報を含むサンドボックス環境のコピー全体をダウンロードすることが可能です。 | 6.5 |
CVE 2025-04-27 03:00:05.938512 |
| CVE-2024-13366 | WordPress 用 Sandbox プラグインは、0.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'debug' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-27 03:00:05.937824 |
| CVE-2024-12637 | WordPress 用の Moving Users プラグインは、1.05 までのすべてのバージョンにおいて、エクスポート機能経由で機密情報漏洩の脆弱性があります。ユーザーデータをエクスポートする際、JSON ファイルは推測可能なファイル名で予測可能な場所に保存されます。これにより、認証されていない攻撃者が、例えば電子メールアドレス、ハッシュ化されたパスワード、IP アドレスなどの機密性の高いユーザデータを抽出できる可能性があります。 | 5.3 |
CVE 2025-04-27 03:00:05.936986 |
| CVE-2024-12598 | WordPress 用 MyBookProgress by Stormhill Media プラグインは、1.0.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'book' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-27 03:00:05.936156 |
| CVE-2024-12508 | WordPress 用 Glofox Shortcodes プラグインは、2.6 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分であるため、 プラグインの 'glofox' および 'glofox_lead_capture ' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-27 03:00:05.935357 |
| CVE-2024-12466 | WordPress 用 Proofreading プラグインは、1.2.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「nonce」パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-04-27 03:00:05.934629 |
| CVE-2024-12203 | WordPress 用 RSS Icon Widget プラグインは、5.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'link_color' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-04-27 03:00:05.933698 |
| CVE-2024-13333 | WordPress 用の Advanced File Manager プラグインは、バージョン 5.2.12 から 5.2.13 の 'fma_local_file_system' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持ち、管理者からアップロード権限を付与された認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。この機能は、"Display .htaccess?" 設定が有効になっている場合にのみ悪用可能です。 | 7.5 |
CVE 2025-04-27 03:00:05.932664 |
| CVE-2024-10799 | WordPress 用 Eventer プラグインは、3.9.7 までのすべてのバージョンにおいて、eventer_woo_download_tickets() 関数を介したディレクトリトラバーサルの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者が、機密情報を含む可能性のあるサーバ上の任意のファイルの内容を読み取ることが可能になります。 | 6.5 |
CVE 2025-04-27 03:00:05.931638 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.