WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13510 | WordPress 用 ShopSite プラグインには、1.5.10 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、関数の nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-15 09:00:30.135630 |
| CVE-2024-13356 | WordPress 用の DSGVO All in one for WP プラグインには、4.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、user_remove_form.php ファイルにおける nonce 検証の欠落または不正確さが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介して管理者ユーザーアカウントを削除することが可能になります。 | 6.5 |
CVE 2025-05-15 09:00:30.134462 |
| CVE-2024-13403 | WPForms - Easy Form Builder for WordPress - Contact Forms, Payment Forms, Surveys, & More plugin for WordPress は、1.9.3.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'fieldHTML' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-15 09:00:30.131452 |
| CVE-2024-13514 | B Slider- Gutenberg Slider Block for WP plugin for WordPress は、1.9.5 までのすべてのバージョンにおいて、「bsb-slider」ショートコードによる情報漏えいの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、アクセスすべきでないプライベートな投稿からデータを抽出することが可能になります。 | 4.3 |
CVE 2025-05-15 03:00:06.067812 |
| CVE-2024-12046 | WordPress 用 Elementor プラグインの Medical Addon には、1.6.2 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'namedical_elementor_template' ショートコードを経由した安全でない直接オブジェクト参照の脆弱性があります。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者が、下書き、保留中、非公開の投稿の内容を読むことが可能になります。 | 4.3 |
CVE 2025-05-15 03:00:06.066395 |
| CVE-2024-13607 | JS Help Desk - The Ultimate Help Desk & Support Plugin plugin for WordPress は、2.8.8 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'exportusereraserequest' 経由で安全でない直接オブジェクト参照の脆弱性があります。このため、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、任意のユーザのチケットデータをエクスポートすることが可能です。 | 4.3 |
CVE 2025-05-15 03:00:06.065008 |
| CVE-2024-12597 | HT Mega - Absolute Addons For Elementor plugin for WordPress は、2.7.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'block_css' および 'inner_css' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-15 03:00:06.064241 |
| CVE-2025-0466 | 4.24.4以前のSensei LMS WordPressプラグインは、そのREST APIルートの一部を適切に保護しておらず、認証されていない攻撃者がsensei_emailとsensei_messageの情報を漏洩する可能性があります。 | 5.3 |
CVE 2025-05-15 03:00:06.063224 |
| CVE-2025-0368 | 0.1.3までのBanner Garden Plugin for WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scriptingが発生し、管理者や認証されていないユーザーなどの高権限ユーザーに対して使用される可能性があります。 | 6.1 |
CVE 2025-05-15 03:00:06.061871 |
| CVE-2024-13332 | TransFinanz WordPressプラグイン1.0.0では、パラメータをページに出力する前にサニタイズとエスケープを行っていないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.061169 |
| CVE-2024-13331 | WP Dream Carousel WordPressプラグイン1.0.1bは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者のような高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-05-15 03:00:06.060255 |
| CVE-2024-13330 | 0.2までのJustRows無料WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 7.1 |
CVE 2025-05-15 03:00:06.059469 |
| CVE-2024-13329 | 0.9.4までのSolidres WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクトクロスサイトスクリプティングが発生します。 | 7.1 |
CVE 2025-05-15 03:00:06.058461 |
| CVE-2024-13328 | 2.3.1までのGiga Messenger WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.057524 |
| CVE-2024-13327 | 2.0.3までのMusicbox WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.056512 |
| CVE-2024-13326 | 0.2.0までのiBuildApp WordPressプラグインは、ページにパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.055529 |
| CVE-2024-13325 | 2.3.5までのGlossy WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.054616 |
| CVE-2024-13115 | WP Projects Portfolio with Client Testimonials WordPressプラグイン3.0には、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 6.1 |
CVE 2025-05-15 03:00:06.053386 |
| CVE-2024-13114 | 3.0までのWP Projects Portfolio with Client Testimonials WordPressプラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.049637 |
| CVE-2024-12859 | WordPress 用 BoomBox Theme Extensions プラグインは、1.8.0 までのすべてのバージョンにおいて、ショートコード 'boombox_listing' の 'type' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行を許してしまいます。これにより、アクセス制御を回避したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりすることが可能になります。 | 8.8 |
CVE 2025-05-14 09:00:04.403417 |
| CVE-2024-11134 | WordPress用Eventerプラグインは、3.9.9までの全てのバージョンにおいて、'eventer_export_booking_csv'関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証された攻撃者が、顧客の個人データを含むブッキングをダウンロードすることが可能になります。 | 4.3 |
CVE 2025-05-14 09:00:04.402378 |
| CVE-2024-11133 | WordPress 用 Eventer プラグインは、3.9.9 までのすべてのバージョンにおいて、'handle_pdf_download_request' 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がイベントチケットをダウンロードすることが可能になります。 | 5.3 |
CVE 2025-05-14 09:00:04.400935 |
| CVE-2024-11132 | WordPress 用 Eventer プラグインは、3.9.9 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-14 09:00:04.400136 |
| CVE-2025-23614 | Nik Sudan WordPress Additional Logins には、Web ページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、Reflected XSS が可能です。この問題は、n/a から 1.0.0 までの WordPress 追加ログインに影響します。 | 7.1 |
CVE 2025-05-14 09:00:04.399371 |
| CVE-2025-23588 | WOW WordPress の WOW Best CSS Compiler には、Web ページ生成中の入力の不適切な中和 ('クロスサイトスクリプティング') 脆弱性があり、Reflected XSS が可能です。この問題は WOW Best CSS Compiler: n/a から 2.0.2 に影響します。 | 7.1 |
CVE 2025-05-14 09:00:04.398449 |
| CVE-2025-22704 | Abinav Thakuri WordPress Signature には、クロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。この問題は、n/a から 0.1 までの WordPress Signature に影響します。 | 5.4 |
CVE 2025-05-14 09:00:04.395478 |
| CVE-2024-13347 | 1.1.3までのEssential WP Real Estate WordPressプラグインは、生成されたURLを属性で出力する前にエスケープしないため、反射型クロスサイトスクリプティングが発生します。 | 6.8 |
CVE 2025-05-14 03:00:06.490836 |
| CVE-2024-13775 | WordPress 用 WooCommerce Support Ticket System プラグインは、17.8 までのすべてのバージョンにおいて、'ajax_delete_message'、'ajax_get_customers_partial_list'、'ajax_get_admins_list' 関数のケイパビリティチェックが欠落しているため、不正アクセスやデータ損失の脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証された攻撃者は、任意の投稿を削除し、すべてのユーザの名前、電子メール、および能力を読み取ることが可能になります。 | 5.4 |
CVE 2025-05-12 09:00:04.918324 |
| CVE-2024-13612 | Better Messages - Live Chat for WordPress, BuddyPress, PeepSo, Ultimate Member, BuddyBoss plugin for WordPress は、2.6.9 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'better_messages_live_chat_button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-12 09:00:04.915746 |
| CVE-2024-13429 | WP Job Portal - A Complete Recruitment System for Company or Job Board website plugin for WordPress は、2.2.6 までのすべてのバージョンにおいて、ユーザが制御するキーに対するバリデーションが欠落しているため、'jobenforcedelete' を経由した Insecure Direct Object Reference の脆弱性があります。このため、雇用主レベル以上のアクセス権を持つ、認証された攻撃者が任意の | 4.3 |
CVE 2025-05-12 03:00:06.751887 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.