WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-9243 | WordPress 用の Cost Calculator Builder プラグインは、3.5.32 までのすべてのバージョンにおいて、get_cc_orders および update_order_status 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が注文管理機能にアクセスし、注文ステータスを変更することが可能です。 | 8.1 |
CVE 2026-01-12 03:00:50.861772 |
| CVE-2025-9030 | WordPress用Majestic Before After Imageプラグインは、2.0.1以下のバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'before_label'および'after_label'パラメータを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 5.4 |
CVE 2026-01-12 03:00:50.861217 |
| CVE-2025-9029 | WDesignKit - Elementor & Gutenberg Starter Templates, Patterns, Cloud Workspace & Widget Builder plugin for WordPress には、1.2.16 以下のバージョンにおいて、wdkit_handle_review_submission 関数を経由した認証が欠落する脆弱性があります。これは、ユーザーがアクションを実行する権限があるかどうかをプラグインが適切に検証していないことが原因です。これにより、認証されていない攻撃者が外部サービスにフィードバックデータを送信することが可能になります。 | 4.3 |
CVE 2026-01-12 03:00:50.860635 |
| CVE-2025-8726 | WordPress 用 WP Photo Album Plus プラグインは、9.0.11.006 までのすべてのバージョンにおいて、 wppa_user_upload 関数の入力サニタイズと出力エスケープが不十分なため、 クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、フォトアルバムの記述に任意のウェブスクリプトを注入し、被害者のブラウザで実行することが可能になります。 | 5.4 |
CVE 2026-01-12 03:00:50.860029 |
| CVE-2025-11228 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、`registerAssociateFormsWithCampaign` 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、認証されていない攻撃者が任意の寄付フォームを任意のキャンペーンに関連付けることが可能です。 | 5.3 |
CVE 2026-01-12 03:00:50.859433 |
| CVE-2025-11227 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、'registerGetForm'、'registerGetForms'、'registerGetCampaign'、'registerGetCampaigns' 関数を経由した情報漏えいの脆弱性があります。これにより、認証されていない攻撃者が、非公開の寄付フォームや下書きの寄付フォーム、アーカイブされたキャンペーンからデータを抽出することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.858282 |
| CVE-2025-10746 | WordPress 用 Integrate Dynamics 365 CRM プラグインには、1.0.9 までのすべてのバージョンにおいて不正アクセスの脆弱性があります。これは、'init' にフックされた関数におけるケイパビリティチェックと nonce 検証の欠落によるものです。これにより、認証されていない攻撃者がプラグインを非アクティブにし、OAuth 設定を改ざんし、脆弱なエンドポイントへの直接リクエストを経由して機密データを公開するテスト接続をトリガーし、特定のパラメータで悪意のあるリクエストを作成することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.854436 |
| CVE-2025-9945 | WordPress 用 CSS プラグイン Optimize More!- CSS plugin for WordPress には、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、reset_plugin 関数における nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの最適化設定をリセットすることが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.202750 |
| CVE-2025-9897 | WordPress 用 AP Background プラグインは、3.8.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは advParallaxBackAdminSaveSlider 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる、偽造されたリクエストを介して背景スライダーを作成または変更することが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.202005 |
| CVE-2025-9895 | WordPress 用 Notification Bar プラグインには、2.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'subscriber-list-empty.php' ファイルにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストによって購読者リストを空にすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.200806 |
| CVE-2025-9892 | WordPress 用 Restrict User Registration プラグインには、1.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、update() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介してプラグインの設定を更新することが可能になります。 | 5.3 |
CVE 2026-01-11 09:00:15.199910 |
| CVE-2025-9889 | WordPress用のContentMX Content Publisherプラグインは、1.0.6までのすべてのバージョンにおいて、クロスサイト・リクエスト・フォージェリの脆弱性があります。これは、cmx_activate_connection関数のnonce検証の欠落または不正確な検証によるものです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを使用して独自のContentMX接続をバインドすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.199390 |
| CVE-2025-9885 | WordPress 用 MPWizard - Create Mercado Pago Payment Links プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'/includes/admin/class-mpwizard-table.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができ、付与された偽造リクエストによって任意の投稿を削除することが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.198865 |
| CVE-2025-9884 | WordPress 用の Mobile Site Redirect プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-11 09:00:15.198093 |
| CVE-2025-9876 | WordPress 用 Ird Slider プラグインは、1.0.2 までのすべてのバージョンにおいて、 ユーザーが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'irdslider' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2026-01-11 09:00:15.197329 |
| CVE-2025-9875 | WordPress 用の Event Tickets, RSVPs, Calendar プラグインは、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'ticket_spot' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.196834 |
| CVE-2025-9859 | WordPress 用 Fintelligence Calculator プラグインは、1.0.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'fintelligence-calculator' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.196309 |
| CVE-2025-9858 | WordPress 用プラグイン Auto Bulb Finder for WordPress には、2.8.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'abf_vehicle' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.195607 |
| CVE-2025-9854 | WordPress 用 A Simple Multilanguage Plugin プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'asmp-switcher' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.194999 |
| CVE-2025-9630 | WordPress 用 WP SinoType プラグインは、1.0 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは sinotype_config 関数の nonce 検証の欠落または不正確さによるものです。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによってタイポグラフィの設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.194139 |
| CVE-2025-9561 | WordPress 用 AP Background プラグインは、バージョン 3.8.1 から 3.8.2 において、 advParallaxBackAdminSaveSlider() ハンドラ内の認可と不十分なファイル検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2026-01-11 09:00:15.193602 |
| CVE-2025-9372 | WordPress 用の Ultimate Multi Design Video Carousel プラグインは、1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、エディタレベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.192796 |
| CVE-2025-9333 | WordPress 用 Smart Docs プラグインは、1.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.192272 |
| CVE-2025-9332 | WordPress 用の Interactive Human Anatomy with Clickable Body Parts プラグインは、2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.191703 |
| CVE-2025-9286 | WordPress 用 Appy Pie Connect for WooCommerce プラグインは、1.1.2 までのすべてのバージョンにおいて、reset_user_password() REST ハンドラ内の認可が欠落しているため、特権昇格の脆弱性があります。これにより、認証されていない攻撃者が、管理者を含む任意のユーザのパスワードをリセットし、管理者権限を得ることが可能になります。 | 9.8 |
CVE 2026-01-11 09:00:15.190968 |
| CVE-2025-9213 | WordPress 用 TextBuilder プラグインは、バージョン 1.0.0 から 1.1.1 において Cross-Site Request Forgery の脆弱性があります。これは、'handleToken' 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。このため、認証されていない攻撃者は、サイト管理者を騙ってリンクをクリックするなどのアクションを実行させ、偽造リクエストによってユーザーの認証トークンを更新することが可能です。トークンが更新されると、攻撃者はユーザのパスワードとメールアドレスを更新することができる。 | 8.8 |
CVE 2026-01-11 09:00:15.190135 |
| CVE-2025-9212 | WordPress 用 WP Dispatcher プラグインは、1.2.0 までのすべてのバージョンにおいて、 wp_dispatcher_process_upload() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。このディレクトリには .htaccess ファイルがあり、リモートでのコード実行を制限しています。 | 7.5 |
CVE 2026-01-11 09:00:15.189457 |
| CVE-2025-9209 | WordPress 用のプラグイン RestroPress - Online Food Ordering System は、バージョン 3.0.0 から 3.1.9.2 において、認証バイパスの脆弱性がある。これは、プラグインが /wp-json/wp/v2/users REST API エンドポイントを経由してユーザのプライベートトークンと API データを公開しているためです。これにより、認証されていない攻撃者が、管理者を含む他のユーザの JWT トークンを偽造し、そのユーザとして認証することが可能になります。 | 9.8 |
CVE 2026-01-11 09:00:15.188631 |
| CVE-2025-9206 | WordPress 用 Meks Easy Maps プラグインには、2.1.4 までのすべてのバージョンにおいて、投稿タイトルフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが悪意のある投稿を含むマップにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2026-01-11 09:00:15.187683 |
| CVE-2025-9204 | WordPress 用 X Addons for Elementor プラグインには、1.0.14 までのすべてのバージョンにおいて、Youtube Video ID フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これは、Youtube Video ID パラメータの入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが影響を受けるページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2026-01-11 09:00:15.187115 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.