WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-3527 | WordPress用のEventON Proプラグインは、4.9.6までのすべてのバージョンにおいて、'assets/lib/settings/settings.js'ファイルの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブ・スクリプトをページに注入することが可能です。この脆弱性はバージョン 4.9.6 で部分的に修正されました。 | 6.4 |
CVE 2025-08-25 09:00:05.459766 |
| CVE-2024-13613 | WordPress 用 Wise Chat プラグインは、3.3.3 までのすべてのバージョンにおいて、'uploads' ディレクトリを経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、チャットメッセージに含まれる添付ファイルを含む可能性のある、/wp-content/uploads ディレクトリに安全に保存されていない機密データを抽出することが可能になります。この脆弱性はバージョン 3.3.3 で部分的に修正されました。 | 7.5 |
CVE 2025-08-25 09:00:05.458935 |
| CVE-2025-4610 | WordPress 用 WP-Members Membership Plugin プラグインは、3.5.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの wpmem_user_memberships ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-25 09:00:05.454687 |
| CVE-2025-4391 | WordPress 用 Echo RSS Feed Post Generator プラグインは、5.4.8.1 までのすべてのバージョンにおいて、 echo_generate_featured_image() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-08-25 03:00:07.093351 |
| CVE-2025-4389 | WordPress 用プラグイン Crawlomatic Multipage Scraper Post Generator には、2.6.8.1 までのすべてのバージョンにおいて、crawlomatic_generate_featured_image() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードし、リモートでコードを実行できる可能性があります。 | 9.8 |
CVE 2025-08-25 03:00:06.843167 |
| CVE-2025-4190 | 1.2 までの CSV Mass Importer WordPress プラグインは、アップロードされたファイルを適切に検証しないため、管理者のような高い権限を持つユーザーが、許可されていないはずの任意のファイルをサーバーにアップロードできてしまいます(マルチサイト設定など)。 | 7.2 |
CVE 2025-08-25 03:00:06.842228 |
| CVE-2025-3812 | WordPress 用 WPBot Pro Wordpress Chatbot プラグインは、13.6.2 までのすべてのバージョンにおいて、qcld_openai_delete_training_file() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.phpなど)が削除されると、リモートでコードが実行される可能性があります。 | 8.1 |
CVE 2025-08-25 03:00:06.840848 |
| CVE-2025-4194 | WordPress 用 AlT Monitoring プラグインは、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'ALT_Monitoring_edit' ページにおける nonce バリデーションの欠落または不正確さが原因です。これにより、認証されていない攻撃者が設定を更新したり、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを介して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-08-25 03:00:06.839710 |
| CVE-2025-4189 | WordPress 用 Audio Comments Plugin プラグインには、1.0.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'audio-comments/audior-settings.php' ページにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造リクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-08-25 03:00:06.836057 |
| CVE-2022-4363 | 2.2.2以前のWholesale Market WordPressプラグイン、2.0.1以前のWholesale Market for WooCommerce WordPressプラグインには、設定を更新する際のCSRFチェックに欠陥があり、CSRF攻撃によってログインした管理者に設定を更新させられる可能性がある。 | 6.5 |
CVE 2025-08-24 09:00:08.079810 |
| CVE-2025-47556 | QuanticaLabs CSS3 Compare Pricing Tables for WordPress に認可の欠落の脆弱性があり、不正に設定されたアクセスコントロールセキュリティレベルを悪用されます。この問題は、CSS3 Compare Pricing Tables for WordPress: n/a から 11.5 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.076490 |
| CVE-2025-47534 | ValvePress Wordpress Auto Spinner に、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性がある脆弱性(Missing Authorization)が存在します。この問題は、n/a から 3.25.0 までの Wordpress Auto Spinner に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.074937 |
| CVE-2025-32306 | LambertGroup Radio Player Shoutcast & Icecast WordPress プラグインに、SQL コマンドで使用される特殊要素の不適切な中和 ('SQL インジェクション') の脆弱性があり、ブラインド SQL インジェクションが可能です。この問題は、Radio Player Shoutcast & Icecast WordPress Plugin: n/a から 4.4.6 に影響します。 | 8.5 |
CVE 2025-08-24 09:00:08.073071 |
| CVE-2025-32295 | Wordpresschef Salon Booking Pro には、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性がある認証漏れの脆弱性があります。この問題は、Salon Booking Pro: n/a から 10.10.2 に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.072091 |
| CVE-2025-32180 | QuanticaLabs CSS3 Tooltips for WordPress に認証欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は CSS3 Tooltips for WordPress: n/a から 1.8 に影響します。 | 4.3 |
CVE 2025-08-24 09:00:08.071468 |
| CVE-2025-31923 | QuanticaLabs CSS3 Accordions for WordPress に認可の欠落の脆弱性があり、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は CSS3 Accordions for WordPress: n/a から 3.0 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.070881 |
| CVE-2025-31922 | QuanticaLabs CSS3 Accordions for WordPress に CSRF (Cross-Site Request Forgery) 脆弱性があり、Stored XSS が可能です。この問題は CSS3 Accordions for WordPress: n/a から 3.0 に影響します。 | 7.1 |
CVE 2025-08-24 09:00:08.070251 |
| CVE-2025-31915 | kamleshyadav Pixel WordPress Form BuilderPlugin & Autoresponder には、クロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。この問題は Pixel WordPress Form BuilderPlugin & Autoresponder: n/a から 1.0.2 に影響します。 | 5.4 |
CVE 2025-08-24 09:00:08.069070 |
| CVE-2025-31640 | LambertGroup Magic Responsive Slider and Carousel WordPress に SQL インジェクションの脆弱性が存在します。この問題は Magic Responsive Slider and Carousel WordPress: n/a から 1.4 に影響します。 | 8.5 |
CVE 2025-08-24 09:00:08.059960 |
| CVE-2025-3516 | 2.9.4以前のSimple Lightbox WordPressプラグインでは、ページ/投稿に出力する前に属性の一部を検証およびエスケープしていないため、コントリビューターロール以上のユーザがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2025-08-24 03:00:13.461434 |
| CVE-2025-3201 | Contact Form builder with drag & drop for WordPress WordPressプラグイン2.4.3以前のバージョンでは、設定の一部をサニタイズおよびエスケープしていないため、投稿者のような高権限ユーザーがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.9 |
CVE 2025-08-24 03:00:13.459626 |
| CVE-2025-4169 | WordPress 用の Posts per Cat [Unmaintained] プラグインは、1.4.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'ppc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-24 03:00:13.455419 |
| CVE-2025-0856 | WordPress 用 PGS Core プラグインは、5.8.0 までのすべてのバージョンにおいて、複数の機能に関する機能チェックが欠落しているため、不正アクセス、改ざん、データ損失の脆弱性があります。これにより、認証されていない攻撃者がプラグインオプションを追加、変更、またはプラグイン化することが可能になります。 | 7.3 |
CVE 2025-08-23 09:00:17.527028 |
| CVE-2025-2203 | 3.10.2以前のFunnelKit WordPressプラグインは、SQLステートメントで使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を実行できる。 | 6.1 |
CVE 2025-08-23 09:00:16.461988 |
| CVE-2025-1454 | 1.4.2までのNinja Pages WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:15.307019 |
| CVE-2025-1303 | 1.7.3までのPlugin Oficial WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用可能な、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-08-23 09:00:14.232852 |
| CVE-2025-1289 | 1.7.3までのPlugin Oficial WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:13.056090 |
| CVE-2025-1288 | 5.0.0 までの WOOEXIM WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者は認証されていないユーザーを CSRF 攻撃による反射型 XSS の脆弱性にすることができます。 | 6.1 |
CVE 2025-08-23 09:00:11.893655 |
| CVE-2025-1286 | Download HTML TinyMCE Button WordPress プラグイン 1.2 では、パラメータをページ内に出力する前にサニタイズおよびエスケープを行っていないため、管理者などの高権限ユーザーに対して使用される可能性のある Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2025-08-23 09:00:09.754486 |
| CVE-2025-1033 | 1.0.14までのBadgearoo WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.629936 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.