WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13487 | The CURCY - Multi Currency for WooCommerce - The best free currency exchange plugin - Run smoothly on WooCommerce 9.x plugin for WordPress is vulnerable to arbitrary shortcode execution via the get_products_price() function in all versions up to and including, 2.2.5.これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-05-17 03:00:13.275874 |
| CVE-2025-0522 | 0.85までのLikeBot WordPressプラグインには、CSRFチェックがない箇所があり、サニタイズとエスケープが欠けているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 4.7 |
CVE 2025-05-17 03:00:13.273393 |
| CVE-2024-13829 | お問い合わせフォーム、アンケート、クイズ用の WordPress フォームビルダープラグイン - Tripetto プラグイン for WordPress には、8.0.8 までのすべてのバージョンにおいて、'attachments.php' ファイルを経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、フォーム経由でアップロードされたファイルを含む機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-05-16 03:00:09.316664 |
| CVE-2025-1028 | WordPress 用 Contact Manager プラグインは、8.6.4 までのすべてのバージョンにおいて、コンタクトフォームのアップロード機能におけるファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、最初の拡張子が最後の拡張子よりも処理される特定の設定において、リモートでコードが実行される可能性があります。また、この脆弱性を悪用するためには、レースコンディションをうまく利用する必要があります。 | 8.1 |
CVE 2025-05-16 03:00:09.313695 |
| CVE-2024-13699 | WordPress 用 Qi Addons For Elementor プラグインは、1.8.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cursor' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この脆弱性はバージョン 1.8.5、1.8.6、1.8.7 で部分的に修正されました。 | 6.4 |
CVE 2025-05-15 09:00:30.138477 |
| CVE-2024-13733 | WordPress 用 SKT Blocks - Gutenberg ベースの Page Builder プラグインは、1.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの skt-blocks/post-carousel ブロックを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-15 09:00:30.137860 |
| CVE-2024-13529 | WordPress 用テーマ SocialV - Social Network and Community BuddyPress は、2.0.15 までのすべてのバージョンにおいて、'socialv_send_download_file' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、ターゲットシステムから任意のファイルをダウンロードすることが可能になります。 | 6.5 |
CVE 2025-05-15 09:00:30.136692 |
| CVE-2024-13510 | WordPress 用 ShopSite プラグインには、1.5.10 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、関数の nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-15 09:00:30.135630 |
| CVE-2024-13356 | WordPress 用の DSGVO All in one for WP プラグインには、4.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、user_remove_form.php ファイルにおける nonce 検証の欠落または不正確さが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介して管理者ユーザーアカウントを削除することが可能になります。 | 6.5 |
CVE 2025-05-15 09:00:30.134462 |
| CVE-2024-13403 | WPForms - Easy Form Builder for WordPress - Contact Forms, Payment Forms, Surveys, & More plugin for WordPress は、1.9.3.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'fieldHTML' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-15 09:00:30.131452 |
| CVE-2024-13514 | B Slider- Gutenberg Slider Block for WP plugin for WordPress は、1.9.5 までのすべてのバージョンにおいて、「bsb-slider」ショートコードによる情報漏えいの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、アクセスすべきでないプライベートな投稿からデータを抽出することが可能になります。 | 4.3 |
CVE 2025-05-15 03:00:06.067812 |
| CVE-2024-12046 | WordPress 用 Elementor プラグインの Medical Addon には、1.6.2 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'namedical_elementor_template' ショートコードを経由した安全でない直接オブジェクト参照の脆弱性があります。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者が、下書き、保留中、非公開の投稿の内容を読むことが可能になります。 | 4.3 |
CVE 2025-05-15 03:00:06.066395 |
| CVE-2024-13607 | JS Help Desk - The Ultimate Help Desk & Support Plugin plugin for WordPress は、2.8.8 までのすべてのバージョンにおいて、ユーザが制御するキーのバリデーションが欠落しているため、'exportusereraserequest' 経由で安全でない直接オブジェクト参照の脆弱性があります。このため、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、任意のユーザのチケットデータをエクスポートすることが可能です。 | 4.3 |
CVE 2025-05-15 03:00:06.065008 |
| CVE-2024-12597 | HT Mega - Absolute Addons For Elementor plugin for WordPress は、2.7.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'block_css' および 'inner_css' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-15 03:00:06.064241 |
| CVE-2025-0466 | 4.24.4以前のSensei LMS WordPressプラグインは、そのREST APIルートの一部を適切に保護しておらず、認証されていない攻撃者がsensei_emailとsensei_messageの情報を漏洩する可能性があります。 | 5.3 |
CVE 2025-05-15 03:00:06.063224 |
| CVE-2025-0368 | 0.1.3までのBanner Garden Plugin for WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scriptingが発生し、管理者や認証されていないユーザーなどの高権限ユーザーに対して使用される可能性があります。 | 6.1 |
CVE 2025-05-15 03:00:06.061871 |
| CVE-2024-13332 | TransFinanz WordPressプラグイン1.0.0では、パラメータをページに出力する前にサニタイズとエスケープを行っていないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.061169 |
| CVE-2024-13331 | WP Dream Carousel WordPressプラグイン1.0.1bは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者のような高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-05-15 03:00:06.060255 |
| CVE-2024-13330 | 0.2までのJustRows無料WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 7.1 |
CVE 2025-05-15 03:00:06.059469 |
| CVE-2024-13329 | 0.9.4までのSolidres WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクトクロスサイトスクリプティングが発生します。 | 7.1 |
CVE 2025-05-15 03:00:06.058461 |
| CVE-2024-13328 | 2.3.1までのGiga Messenger WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.057524 |
| CVE-2024-13327 | 2.0.3までのMusicbox WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.056512 |
| CVE-2024-13326 | 0.2.0までのiBuildApp WordPressプラグインは、ページにパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.055529 |
| CVE-2024-13325 | 2.3.5までのGlossy WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.054616 |
| CVE-2024-13115 | WP Projects Portfolio with Client Testimonials WordPressプラグイン3.0には、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 6.1 |
CVE 2025-05-15 03:00:06.053386 |
| CVE-2024-13114 | 3.0までのWP Projects Portfolio with Client Testimonials WordPressプラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-05-15 03:00:06.049637 |
| CVE-2024-12859 | WordPress 用 BoomBox Theme Extensions プラグインは、1.8.0 までのすべてのバージョンにおいて、ショートコード 'boombox_listing' の 'type' 属性を経由したローカルファイル組み込みの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行を許してしまいます。これにより、アクセス制御を回避したり、機密データを取得したり、php ファイルタイプをアップロードしてインクルードできる場合にコードを実行したりすることが可能になります。 | 8.8 |
CVE 2025-05-14 09:00:04.403417 |
| CVE-2024-11134 | WordPress用Eventerプラグインは、3.9.9までの全てのバージョンにおいて、'eventer_export_booking_csv'関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証された攻撃者が、顧客の個人データを含むブッキングをダウンロードすることが可能になります。 | 4.3 |
CVE 2025-05-14 09:00:04.402378 |
| CVE-2024-11133 | WordPress 用 Eventer プラグインは、3.9.9 までのすべてのバージョンにおいて、'handle_pdf_download_request' 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がイベントチケットをダウンロードすることが可能になります。 | 5.3 |
CVE 2025-05-14 09:00:04.400935 |
| CVE-2024-11132 | WordPress 用 Eventer プラグインは、3.9.9 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-14 09:00:04.400136 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.