WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-9631 | WordPress 用 AutoCatSet プラグインには、2.1.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは autocatset_ajax 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。このため、認証されていない攻撃者は、サイト管理者を騙してリンクをクリックするなどのアクションを実行させることができる偽造リクエストを経由して、投稿の自動再分類をトリガーすることが可能です。 | 4.3 |
CVE 2025-12-20 03:00:07.104659 |
| CVE-2025-9628 | WordPress 用 AMO.CRM プラグインの統合には、1.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、settings_page 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使用して、AMO.CRM API URL、ログイン認証情報、API ハッシュキーなどの重要な API 接続設定を変更することが可能です。 | 4.3 |
CVE 2025-12-20 03:00:07.103805 |
| CVE-2025-9627 | WordPress 用 Run Log プラグインには、1.7.10 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは oirl_plugin_options 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使用して、距離単位、ペース表示設定、スタイルテーマ、表示位置を含むプラグイン設定を変更することが可能です。 | 4.3 |
CVE 2025-12-20 03:00:07.102824 |
| CVE-2025-9623 | WordPress 用 Admin in English with Switch プラグインには、1.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは enable_eng 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、管理者の言語設定を変更することが可能になります。 | 4.3 |
CVE 2025-12-20 03:00:07.101952 |
| CVE-2025-9620 | WordPress 用 Seo Monster プラグインには、3.3.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、check_integration() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-12-20 03:00:07.101320 |
| CVE-2025-9617 | WordPress 用の Publish 承認プラグインには、1.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、publish_save_option 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの設定を変更することが可能になります。 | 5.3 |
CVE 2025-12-20 03:00:07.099173 |
| CVE-2025-9451 | WordPress 用 Smartcat Translator for WPML プラグインは、3.1.69 までのすべてのバージョンにおいて、'orderby' パラメータを経由した時間ベースの SQL インジェクションに対して脆弱です。 このため、Authorレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能なSQLクエリを既存のクエリに追加することが可能です。 | 6.5 |
CVE 2025-12-20 03:00:07.098177 |
| CVE-2025-9128 | WordPress 用 eID Easy プラグインは、4.9.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'id' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-12-20 03:00:07.097112 |
| CVE-2025-9123 | WordPress用CBX Map for Google Map & OpenStreetMapプラグインは、1.1.12までの全てのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ポップアップの見出しと位置アドレスのパラメータを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.095427 |
| CVE-2025-9073 | WordPress 用 All in one Minifier プラグインは、3.2 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、「post_id」パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-12-20 03:00:07.094245 |
| CVE-2025-8721 | WordPress 用 Workable Api プラグインは、1.0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの workable_jobs ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のWebスクリプトをページに注入することが可能になる。 | 6.4 |
CVE 2025-12-20 03:00:07.092200 |
| CVE-2025-8692 | WordPress 用 Coupon API プラグインは、6.2.9 までのすべてのバージョンにおいて、ユーザが提供したパラメー タのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、「log_duration」パラメー タを経由した SQL インジェクションの脆弱性があります。 これにより、管理者レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 4.9 |
CVE 2025-12-20 03:00:07.091305 |
| CVE-2025-8691 | WordPress 用 WP Scriptcase プラグインは、2.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.089620 |
| CVE-2025-8689 | WordPress 用 Elements Plus プラグインは、2.16.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの Image Comparison、HotSpot Plus、Google Maps ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.088579 |
| CVE-2025-8686 | WordPress 用 WP Easy FAQs プラグインは、1.0.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの WP_EASY_FAQ ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.087614 |
| CVE-2025-8570 | WordPress 用 BeyondCart Connector プラグインは、バージョン 1.4.2 から 2.1.0 までの determine_current_user フィルタ内の不適切な JWT シークレットマネジメントと認証により、特権昇格の脆弱性があります。これにより、認証されていない攻撃者が有効なトークンを作成し、任意のユーザの ID を想定することが可能になります。 | 9.8 |
CVE 2025-12-20 03:00:07.085838 |
| CVE-2025-8492 | WordPress 用の Salon Booking System, Appointment Scheduling for Salons, Spas & Small Businesses プラグインは、10.20 までのすべてのバージョンにおいて、ajax 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が、限定的なファイルアップロードを含む AJAX アクションを実行することが可能になります。 | 5.3 |
CVE 2025-12-20 03:00:07.084858 |
| CVE-2025-8481 | Blog Designer For Elementor - Post Slider, Post Carousel, Post Grid プラグイン for WordPress は、バージョン 1.1.7 において Cross-Site Request Forgery の脆弱性があります。これは、bdfe_install_activate_rswpbs_only 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができる偽造リクエストを使用して、「rs-wp-books-showcase」プラグインをインストールすることが可能です。 | 4.3 |
CVE 2025-12-20 03:00:07.083630 |
| CVE-2025-8445 | WordPress 用 Elementor プラグインの Countdown Timer には、1.3.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'countdown_label' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.081834 |
| CVE-2025-8425 | WordPress 用 My WP Translate プラグインは、1.1 までのすべてのバージョンで ajax_import_strings() 関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 | 8.8 |
CVE 2025-12-20 03:00:07.080414 |
| CVE-2025-8423 | WordPress 用 My WP Translate プラグインは、1.1 までのすべてのバージョンにおいて、 mtswpt_remove_plugin() および ajax_update_export_code() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の WordPress オプションを読み込んだり削除したりすることが可能となり、サービス拒否を引き起こす可能性があります。 | 5.4 |
CVE 2025-12-20 03:00:07.078828 |
| CVE-2025-8422 | Propovoice:WordPress 用の All-in-One Client Management System プラグインは、1.7.6.7 までのすべてのバージョンにおいて、 send_email() 関数を経由した任意のファイル読み込みの脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 7.5 |
CVE 2025-12-20 03:00:07.077406 |
| CVE-2025-8417 | WordPress 用の Catalog Importer, Scraper & Crawler プラグインは、5.1.4 までのすべてのバージョンにおいて、 PHP コードインジェクションの脆弱性があります。これは、推測可能な数値トークン (例: ?key= 900001705) を適切な認証なしに使用していることと、 ユーザーが提供した入力に対して安全ではない eval() を使用していることが原因です。これにより、認証されていない攻撃者が数値キーを推測あるいは総当りすることで、 偽装されたリクエストを使用してサーバー上で任意の PHP コードを実行することが可能となります。 | 8.1 |
CVE 2025-12-20 03:00:07.075158 |
| CVE-2025-8398 | azurecurveのWordPress用BBCodeプラグインは、2.0.4までのバージョンにおいて、入力のサニタイズとユーザー属性の出力エスケープが不十分なため、プラグインの'url'ショートコードを経由したストアドクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.073811 |
| CVE-2025-8392 | WordPress 用 Mitfahrgelegenheit プラグインは、1.1.5 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、'date' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.071991 |
| CVE-2025-8318 | WordPress 用 Jobify プラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.4.4 までのすべてのバージョンにおいて、'keyword' パラメータを経由した Stored クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.070878 |
| CVE-2025-8316 | WordPress 用 Certifica WP プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.1 までのすべてのバージョンにおいて、'evento' パラメータを介した保存型クロスサイトスクリプティングの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-12-20 03:00:07.069344 |
| CVE-2025-8215 | WordPress 用 Elementor プラグイン Responsive Addons には、1.7.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.067995 |
| CVE-2025-5801 | WordPress 用 Digital Events Calendar プラグインは、1.0.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'column' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-20 03:00:07.066801 |
| CVE-2025-0763 | WordPress用Ultimate Classified Listingsプラグインは、1.6までのすべてのバージョンにおいて、save_custom_fields関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者がプラグインのカスタムフィールドを変更することが可能です。 | 4.3 |
CVE 2025-12-20 03:00:07.065598 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.