WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-6673 | WordPress 用 Easy restaurant menu manager プラグインは、2.0.1 までのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの nsc_eprm_menu_link ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.656521 |
| CVE-2024-11937 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.69 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Mobile Menu 要素内のプラグインの linkURL を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.655859 |
| CVE-2025-6944 | WordPress 用 Uncode Core プラグインは、2.9.4.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'uncode_hl_text' および 'uncode_text_icon' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.655169 |
| CVE-2025-7046 | WordPress 用の Portfolio for Elementor & Image Gallery | PowerFolio プラグインは、3.2.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、プラグインのウィジェットのカスタム JS 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 この問題はバージョン 3.2.0 で部分的に修正され、バージョン 3.2.1 で完全に修正されました。 | 6.4 |
CVE 2025-10-12 03:00:04.654069 |
| CVE-2025-6814 | WordPress 用 Booking X プラグインは、バージョン 1.0 から 1.1.2 の export_now() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が細工した POST リクエストを発行することで、ユーザーアカウント、ユーザーメタ、PayPal 認証情報を含むすべてのプラグインデータをダウンロードすることが可能になります。 | 7.5 |
CVE 2025-10-12 03:00:04.653427 |
| CVE-2025-6787 | WordPress 用 Smart Docs プラグインは、1.1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'smartdocs_search' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.652777 |
| CVE-2025-6786 | WordPress 用 DocCheck Login プラグインには、1.1.5 までのすべてのバージョンにおいて、不正な投稿アクセスに対する脆弱性があります。これは、ページが読み込まれた後、プラグインがパスワードで保護された投稿にログインするようユーザーをリダイレクトすることが原因です。これにより、認証されていない攻撃者が、アクセスすべきでない投稿を読むことが可能になります。 | 5.3 |
CVE 2025-10-12 03:00:04.652102 |
| CVE-2025-6783 | WordPress 用 GoZen Forms プラグインは、emdedSc() 関数の 'forms-id' パラメータ経由で SQL インジェクションを受ける脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加の SQL クエリを、既に存在するクエリに追加することが可能になってしまいます。 | 7.5 |
CVE 2025-10-12 03:00:04.650656 |
| CVE-2025-6782 | WordPress 用 GoZen Forms プラグインは、1.1.5 までの全てのバージョンにおいて、 dirGZActiveForm() 関数の 'forms-id' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加の SQL クエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-10-12 03:00:04.649638 |
| CVE-2025-6739 | WordPress 用 WPQuiz プラグインは、0.4.2 までのすべてのバージョンにおいて、'wpquiz' ショートコードの 'id' 属性を経由した SQL インジェクションに対して脆弱です。 これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-10-12 03:00:04.648945 |
| CVE-2025-6729 | WordPress 用 WooCommerce プラグイン PayMaster には、0.4.31 までのすべてのバージョンにおいて、'wp_ajax_paym_status' AJAX アクションを経由した Server-Side Request Forgery の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に使用される可能性があります。 | 6.4 |
CVE 2025-10-12 03:00:04.648273 |
| CVE-2025-6586 | WordPress 用 Download Plugin プラグインは、2.2.8 までのすべてのバージョンにおいて、dpwap_plugin_locInstall 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-10-12 03:00:04.647580 |
| CVE-2025-6238 | WordPress 用 AI Engine プラグインは、バージョン 2.8.4 においてオープンリダイレクトの脆弱性があります。これは OAuth の実装が安全でないためで、認可フロー中に 'redirect_uri' パラメータの検証が欠落しています。このため、認証されていない攻撃者が認証コードを傍受し、攻撃者が管理する URI にユーザーをリダイレクトしてアクセストークンを取得することが可能です。注: OAuth は無効化されており、パッチが適用されたバージョン 2.8.5 では 'Meow_MWAI_Labs_OAuth' クラスはプラグインにロードされていません。 | 8.0 |
CVE 2025-10-12 03:00:04.646513 |
| CVE-2025-6041 | WordPress 用 yContributors プラグインは、0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'yContributors' ページの nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-10-12 03:00:04.645192 |
| CVE-2025-6039 | WordPress 用の ProcessingJS for WordPress プラグインは、1.2.2 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'pjs4wp' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.644185 |
| CVE-2025-5956 | WordPress 用 WP Human Resource Management プラグインは、バージョン 2.0.0 から 2.2.17 までの ajax_delete_employee() 関数内で認可が欠落しているため、任意のユーザー削除の脆弱性があります。このプラグインの削除ハンドラは、クライアントから提供された $_POST['delete'] 配列を読み込み、呼び出し元が delete_users 権限を持っているかどうかを検証したり、削除されるユーザ ID を制限したりすることなく、各 ID を直接 wp_delete_user() に渡します。このため、Employee レベル以上の認証済み攻撃者は、管理者を含む任意のアカウントを削除することが可能です。 | 6.5 |
CVE 2025-10-12 03:00:04.643457 |
| CVE-2025-5953 | WordPress 用 WP Human Resource Management プラグインは、バージョン 2.0.0 から 2.2.17 までの ajax_insert_employee() および update_empoyee() 関数で認可が欠けているため、特権昇格の脆弱性があります。AJAX ハンドラは、クライアントから提供された $_POST['role'] を読み込み、hrm_clean() で基本的なクリーニングを行った後、現在のユーザがそのロールを割り当てることを許可されているかどうかを検証することなく、直接 wp_insert_user() と $user->set_role() に渡します。これにより、Employee レベル以上のアクセス権を持つ、 認証された攻撃者が管理者に権限を昇格させることが可能となります。 | 8.8 |
CVE 2025-10-12 03:00:04.642710 |
| CVE-2025-5933 | WordPress 用 RD Contacto プラグインには、1.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、rdWappUpdateData() 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用してプラグインの設定を更新することが可能になります。 | 4.3 |
CVE 2025-10-12 03:00:04.641611 |
| CVE-2025-5924 | WordPress 用 WP Firebase Push Notification プラグインは、1.2.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wfpn_brodcast_notification_message() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、 偽のリクエストを使ってブロードキャスト通知を送ることが可能になります。 | 4.3 |
CVE 2025-10-12 03:00:04.640838 |
| CVE-2025-5567 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、7.4.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'data-url' DOM 要素属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-12 03:00:04.635472 |
| CVE-2025-5322 | WordPress 用レンタカー管理システム VikRentCar プラグインは、1.4.3 までのすべてのバージョンにおいて、do_updatecar および createcar 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-10-11 09:00:12.499247 |
| CVE-2025-5961 | Migration, Backup, Staging - WPvivid Backup & Migration plugin for WordPress は、0.9.116 までのすべてのバージョンにおいて、'wpvivid_upload_import_files' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。注意: アップロードされたファイルは、NGINX ウェブサーバー上で実行されている WordPress インスタンス上でのみアクセス可能です。これは、ターゲットファイルアップロードフォルダー内の既存の .htaccess が Apache サーバー上でのアクセスを妨げているためです。 | 7.2 |
CVE 2025-10-11 09:00:12.496837 |
| CVE-2025-2932 | WordPress 用 JKDEVKIT プラグインは、1.9.4 までのすべてのバージョンにおいて、'font_upload_handler' 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。WooCommerce が有効な場合、攻撃者はコントリビュータレベル以上のアクセスを必要とします。 | 8.8 |
CVE 2025-10-11 09:00:12.495635 |
| CVE-2025-2537 | WordPress 用の複数のプラグインには、様々なバージョンにおいて、プラグインにバンドルされている ThickBox JavaScript ライブラリ (バージョン 3.1) を経由した Stored Cross-Site Scripting の脆弱性があり、これはユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-11 09:00:12.494099 |
| CVE-2025-2540 | WordPress 用の複数のプラグインは、様々なバージョンにおいて、プラグインにバンドルされている prettyPhoto ライブラリ(バージョン 3.1.6)を経由した Stored Cross-Site Scripting に対して、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-11 09:00:12.491532 |
| CVE-2024-5647 | WordPress 用の複数のプラグインには、様々なバージョンにおいて、プラグインにバンドルされている Magnific Popups ライブラリ(バージョン 1.1.0)を経由した Stored Cross-Site Scripting の脆弱性があり、これはユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性は、アップストリームライブラリ(Magnific Popups version 1.2.0)では、デフォルトで特定のフィールド内のHTMLの読み込みを無効にすることで修正されています。 | 6.4 |
CVE 2025-10-11 09:00:12.449333 |
| CVE-2024-9017 | WordPress 用 PeepSo Core:WordPress 用 Groups プラグインは、6.4.6.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Group Description フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-10-11 03:00:16.788406 |
| CVE-2025-5944 | WordPress 用 Elementor プラグイン Element Pack Addons には、8.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'data-caption' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-11 03:00:16.784248 |
| CVE-2025-4946 | WordPress 用テーマ Vikinger には、1.9.32 までのすべてのバージョンにおいて、 vikinger_delete_activity_media_ajax() 関数におけるファイルパスの検証が不十分なため、 任意のファイルを削除される脆弱性があります。これにより、Subscriberレベル以上のアクセス権を持つ、認証された攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.phpなど)が削除された場合、容易にリモートでコードが実行される可能性があります。注意: Vikinger Mediaプラグインがインストールされ、有効になっている必要があります。 | 8.1 |
CVE 2025-10-10 09:00:14.849516 |
| CVE-2025-2330 | WordPress 用 All-in-One Addons for Elementor - WidgetKit プラグインは、2.5.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの 'button+modal' ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-10-10 09:00:14.825974 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.