WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-3516 | 2.9.4以前のSimple Lightbox WordPressプラグインでは、ページ/投稿に出力する前に属性の一部を検証およびエスケープしていないため、コントリビューターロール以上のユーザがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2025-08-24 03:00:13.461434 |
| CVE-2025-3201 | Contact Form builder with drag & drop for WordPress WordPressプラグイン2.4.3以前のバージョンでは、設定の一部をサニタイズおよびエスケープしていないため、投稿者のような高権限ユーザーがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.9 |
CVE 2025-08-24 03:00:13.459626 |
| CVE-2025-4169 | WordPress 用の Posts per Cat [Unmaintained] プラグインは、1.4.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'ppc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 03:00:13.455419 |
| CVE-2025-0856 | WordPress 用 PGS Core プラグインは、5.8.0 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、不正アクセス、改ざん、データ損失の脆弱性があります。これにより、認証されていない攻撃者がプラグインオプションを追加、変更、またはプラグイン化することが可能になります。 | 7.3 |
CVE 2025-08-23 09:00:17.527028 |
| CVE-2025-2203 | 3.10.2以前のFunnelKit WordPressプラグインは、SQLステートメントで使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を実行できる。 | 6.1 |
CVE 2025-08-23 09:00:16.461988 |
| CVE-2025-1454 | 1.4.2までのNinja Pages WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:15.307019 |
| CVE-2025-1303 | 1.7.3までのPlugin Oficial WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用可能な、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-08-23 09:00:14.232852 |
| CVE-2025-1289 | 1.7.3までのPlugin Oficial WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:13.056090 |
| CVE-2025-1288 | 5.0.0 までの WOOEXIM WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者は認証されていないユーザーを CSRF 攻撃による反射型 XSS の脆弱性にすることができます。 | 6.1 |
CVE 2025-08-23 09:00:11.893655 |
| CVE-2025-1286 | Download HTML TinyMCE Button WordPress プラグイン 1.2 では、パラメータをページ内に出力する前にサニタイズおよびエスケープを行っていないため、管理者などの高権限ユーザーに対して使用される可能性のある Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2025-08-23 09:00:09.754486 |
| CVE-2025-1033 | 1.0.14までのBadgearoo WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.629936 |
| CVE-2025-0688 | 0.9.10までのWordPressプラグイン「Spiritual Gifts Survey」(およびオプションの「S.H.A.P.E survey」)は、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用される可能性のあるリフレクト・クロスサイト・スクリプティングが発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.628639 |
| CVE-2025-0687 | 0.9.10までのWordPressプラグイン「Spiritual Gifts Survey」(およびオプションの「S.H.A.P.E survey」)は、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用される可能性のあるリフレクト・クロスサイト・スクリプティングにつながります。 | 6.1 |
CVE 2025-08-23 09:00:08.627281 |
| CVE-2025-0329 | 6.2.4より前のAI ChatBot for WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.626176 |
| CVE-2024-9882 | 1.9.4以前のSalon Booking System, Appointment Scheduling for Salons, Spas & Small Businesses WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.624962 |
| CVE-2024-9879 | 2.1.1以前のMelapress File Monitor WordPressプラグインは、SQLステートメントでパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 | 5.4 |
CVE 2025-08-23 09:00:08.624046 |
| CVE-2024-9838 | Auto Affiliate Links WordPressプラグイン6.4.7以前のバージョンでは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしていないため、管理者がSQLインジェクション攻撃を行うことができる。 | 5.4 |
CVE 2025-08-23 09:00:08.623089 |
| CVE-2024-9831 | 3.0.9より前のTaskbuilder WordPressプラグインは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができる。 | 7.2 |
CVE 2025-08-23 09:00:08.622341 |
| CVE-2024-9765 | 2.2.2以前のEKC Tournament Manager WordPressプラグインでは、ログインした管理者がWordPressディレクトリの外にあるシステムファイルをダウンロードすることができます。 | 6.5 |
CVE 2025-08-23 09:00:08.621149 |
| CVE-2024-9711 | 2.2.2 より前の EKC Tournament Manager WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.620251 |
| CVE-2024-9709 | 2.2.2 より前の EKC Tournament Manager WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.619036 |
| CVE-2024-9663 | 2.5.3以前のCYAN Backup WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.617723 |
| CVE-2024-9662 | 2.5.3以前のCYAN Backup WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.616826 |
| CVE-2024-9645 | 2.2.93より前のPost Grid, Posts Slider, Posts Carousel, Post Filter, Post Masonry WordPressプラグインは、ブロックが埋め込まれているページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしません。 | 5.4 |
CVE 2025-08-23 09:00:08.615621 |
| CVE-2024-9599 | 4.7.8より前のPopup Box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.614276 |
| CVE-2024-9450 | 1.3.15より前のFree Booking Plugin for Hotels, Restaurants and Car Rentals WordPressプラグインは、設定を更新する際にCSRFチェックが行われていないため、攻撃者はログインした購読者にCSRF攻撃によって設定を変更させることができる。 | 6.5 |
CVE 2025-08-23 09:00:08.613465 |
| CVE-2024-9390 | 6.0.2.1より前のRegistrationMagic WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.612660 |
| CVE-2024-9238 | 1.1.1以前のAVIF Uploader WordPressプラグインは、アップロードされたSVGファイルをサニタイズしないため、Author程度のロールを持つユーザがXSSペイロードを含む悪意のあるSVGをアップロードできる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.611789 |
| CVE-2024-9236 | 4.4.2以前のTeam WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.610341 |
| CVE-2024-9233 | 3.7.1以前のLogo Slider WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 4.3 |
CVE 2025-08-23 09:00:08.609486 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.