WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-7526 | WP Travel Engine - Tour Booking Plugin - Tour Operator Software plugin for WordPress は、6.6.7 までのすべてのバージョンにおいて、set_user_profile_image 関数におけるファイルパスの検証が不十分なため、(リネームによって)任意のファイルを削除される脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 9.8 |
CVE 2026-01-17 03:00:12.413571 |
| CVE-2025-6038 | WordPress 用テーマプラグイン pebas® Lisfinity に使用されている Lisfinity Core - Lisfinity Core プラグインは、1.4.0 までのすべてのバージョンにおいて、パスワード更新による権限昇格の脆弱性があります。これは、パスワードを更新する前に、プラグインがユーザの身元を適切に検証しないことが原因です。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、管理者を含む任意のユーザのパスワードを変更することが可能になります。 | 8.8 |
CVE 2026-01-17 03:00:12.411276 |
| CVE-2025-5961 | Migration, Backup, Staging - WPvivid Backup & Migration plugin for WordPress は、0.9.116 までのすべてのバージョンにおいて、'wpvivid_upload_import_files' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。注意: アップロードされたファイルは、NGINX ウェブサーバー上で実行されている WordPress インスタンス上でのみアクセス可能です。これは、ターゲットファイルアップロードフォルダー内の既存の .htaccess が Apache サーバー上でのアクセスを妨げているためです。 | 7.2 |
CVE 2026-01-16 23:00:08.778207 |
| CVE-2025-11166 | WordPress 用 WP Go Maps (旧 WP Google Maps) プラグインは、9.0.46 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリ (CSRF) の脆弱性があります。これは、プラグインが適切な CSRF トークンの検証を行わず、AJAX ブリッジを通して状態を変更する REST アクションを公開し、permission_callback のない GET リクエストを通して破壊的なロジックに到達可能なためです。このため、認証されていない攻撃者が CSRF 攻撃によって、ログインしている管理者にマーカーやジオメトリ機能の作成、更新、削除をさせたり、匿名ユーザーが安全でない GET リクエストによってマーカーの大量削除を引き起こしたりすることが可能になります。 | 5.4 |
CVE 2026-01-16 23:00:07.133774 |
| CVE-2025-10586 | WordPress 用の Community Events プラグインは、1.5.1 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'event_venue' パラメータを介して SQL インジェクションを受ける脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能になります。 | 9.8 |
CVE 2026-01-16 23:00:07.132520 |
| CVE-2025-10496 | WordPress 用の Cookie Notice & Consent プラグインは、1.6.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、uuid パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-16 23:00:07.111074 |
| CVE-2025-10649 | WordPress 用 Welcart e-Commerce プラグインは、2.11.21 までのすべてのバージョンにおいて、ユーザが提供する値のエスケープが不十分であり、既存の SQL クエリに十分な準備がないため、クッキーを介した SQL インジェクションの脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 6.5 |
CVE 2026-01-16 09:00:05.902987 |
| CVE-2025-5817 | WordPress 用 Amazon Products to WooCommerce プラグインは、1.2.7 までのすべてのバージョンにおいて、 wcta2w_get_urls() を経由した Server-Side Request Forgery の脆弱性があります。これにより、認証されていない攻撃者がウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 7.2 |
CVE 2026-01-16 03:00:06.929948 |
| CVE-2025-11171 | Chartify - WordPress Chart Plugin for WordPress には、3.5.9 までのすべてのバージョンにおいて、Missing Authentication for Critical Function の脆弱性があります。これは、このプラグインが、nonce やケイパビリティチェックなしに、リクエストパラメータに基づいて admin クラスのメソッドにディスパッチする認証されていない AJAX アクションを登録するためです。このため、認証されていない攻撃者は、呼び出し可能なメソッド名を特定することで、wp-admin/admin-ajax.phpエンドポイント経由で管理者関数を実行することができます。 | 5.3 |
CVE 2026-01-16 03:00:06.722129 |
| CVE-2025-10635 | 2.0.9.1までのFind Me On WordPressプラグインは、SQLステートメントでパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、サブスクライバー以上のユーザーがSQLインジェクション攻撃を行うことができる。 | 7.7 |
CVE 2026-01-16 03:00:06.721324 |
| CVE-2025-11204 | WordPress 用の RegistrationMagic - Custom Registration Forms, User Registration, Payment, and User Login プラグインは、6.0.6.2 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、SQL インジェクションの脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。認証されていない攻撃者は、フォームの送信時にユーザーエージェントを介して注入されたクロスサイト・スクリプティングを利用し、これを利用してリフレクト・クロスサイト・スクリプティングを実現することができる。 | 7.2 |
CVE 2026-01-16 03:00:06.720337 |
| CVE-2025-10587 | WordPress 用 Community Events プラグインは、1.5.1 までのすべてのバージョンにおいて、event_category パラメータを経由した SQL インジェクションの脆弱性があります。 このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 9.8 |
CVE 2026-01-16 03:00:06.718807 |
| CVE-2025-10494 | WordPress 用プラグイン Motors - Car Dealership & Classified Listings プラグインは、1.4.89 までのすべてのバージョンにおいて、プロフィール画像を削除する際のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除された場合にリモートでコードが実行される可能性があります。 | 8.1 |
CVE 2026-01-16 03:00:06.715281 |
| CVE-2025-2940 | WordPress 用 Ninja Tables - Easy Data Table Builder プラグインは、5.0.18 までのすべてのバージョンにおいて、 args[url] パラメータを経由した Server-Side Request Forgery の脆弱性があります。これにより、認証されていない攻撃者がウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の問い合わせや変更に利用される可能性があります。 | 7.2 |
CVE 2026-01-15 23:00:04.768413 |
| CVE-2025-10645 | WordPress 用 WP Reset プラグインは、2.05 までのすべてのバージョンにおいて、デバッグが有効な場合 (デフォルト)、WF_Licensing::log() メソッドを経由して、機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が機密ライセンスキーとサイトデータを抽出することが可能になります。 | 5.3 |
CVE 2026-01-15 09:00:11.938195 |
| CVE-2025-2800 | WP Event Manager - Events Calendar, Registrations, Sell Tickets with WooCommerce plugin for WordPress は、3.1.50 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'organizer_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-15 03:00:11.198383 |
| CVE-2025-7400 | WordPress の Featured Image from URL (FIFU) プラグインは、5.2.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、投稿の Featured Image カスタムフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性はバージョン 5.2.2 で部分的に修正されました。 | 6.4 |
CVE 2026-01-15 03:00:10.971158 |
| CVE-2025-10162 | WooCommerceの注文後の管理者と顧客のメッセージ:OrderConvo WordPress プラグイン 14 より前のバージョンでは、ダウンロードされるファイルのパスが検証されないため、認証されていない攻撃者がパストラバーサル攻撃によって任意のファイルを読み込んだりダウンロードしたりできる可能性があります。 | 7.5 |
CVE 2026-01-15 03:00:10.968428 |
| CVE-2025-1123 | Solid Mail - SMTP email and logging made by SolidWP plugin for WordPress は、2.1.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、メール名、件名、本文を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-14 23:00:08.124199 |
| CVE-2025-4799 | WordPress 用 WP-DownloadManager プラグインは、1.68.10 までのすべてのバージョンにおいて、ファイルを削除できるディレクトリに制限がないため、任意のファイルを削除される脆弱性があります。このため、Administrator レベル以上のアクセス権を持つ認証済みの攻撃者は、サーバ上の任意のファイルを削除することが可能で、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。この脆弱性は CVE-2025-4798 と組み合わせることで、WordPress のルートディレクトリ内の任意のファイルを削除することができます。 | 7.2 |
CVE 2026-01-14 09:00:08.352684 |
| CVE-2025-9710 | 2.5.3以前のResponsive Lightbox & Gallery WordPressプラグインでは、HTMLタグ属性の変更が適切に処理されないため、認証されていない攻撃者が機能を悪用してイベントハンドラを含め、Stored XSS攻撃を行う可能性があります。 | 6.3 |
CVE 2026-01-14 03:00:05.044395 |
| CVE-2025-9703 | 2.5.0より前のUltimate Addons for Elementor (Formerly Elementor Header & Footer Builder) WordPressプラグインは、xmlrpc.phpエンドポイントを通してbase64エンコードを使ってアップロードされたSVGファイルの内容をサニタイズしておらず、クロスサイトスクリプティングの脆弱性がある。 | 4.3 |
CVE 2026-01-14 03:00:05.041214 |
| CVE-2025-9952 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、5.20.2 までのすべてのバージョンにおいて、'range-date' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-12 03:00:50.864727 |
| CVE-2025-9886 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress には、5.20.2 までのすべてのバージョンにおいて、Cross-Site Request Forgery の脆弱性があります。これは、'/admin/inc/post-management.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができる、偽造されたリクエストを介して投稿を有効化/無効化することが可能です。 | 4.3 |
CVE 2026-01-12 03:00:50.864136 |
| CVE-2025-10383 | Contest Gallery - Upload, Vote & Sell with PayPal and Stripe plugin for WordPress には、27.0.2 までのすべてのバージョンにおいて、複数のフォームフィールドパラメータを介した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが入力した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。このため、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能であり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-12 03:00:50.863542 |
| CVE-2025-9485 | WordPress 用 OAuth Single Sign On - SSO (OAuth Client) プラグインは、6.26.12 までのバージョンにおいて、暗号署名の不適切な検証の脆弱性があります。これは、プラグインが `get_resource_owner_from_id_token` 関数で検証や妥当性確認を行わずに安全でない JWT トークン処理を行うことに起因します。このため、認証されていない攻撃者が認証をバイパスして既存のユーザーアカウント(特定の設定における管理者を含む)にアクセスしたり、任意の購読者レベルのアカウントを作成したりすることが可能になる。 | 9.8 |
CVE 2026-01-12 03:00:50.862841 |
| CVE-2025-9243 | WordPress 用の Cost Calculator Builder プラグインは、3.5.32 までのすべてのバージョンにおいて、get_cc_orders および update_order_status 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が注文管理機能にアクセスし、注文ステータスを変更することが可能です。 | 8.1 |
CVE 2026-01-12 03:00:50.861772 |
| CVE-2025-9030 | WordPress用Majestic Before After Imageプラグインは、2.0.1以下のバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'before_label'および'after_label'パラメータを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 5.4 |
CVE 2026-01-12 03:00:50.861217 |
| CVE-2025-9029 | WDesignKit - Elementor & Gutenberg Starter Templates, Patterns, Cloud Workspace & Widget Builder plugin for WordPress には、1.2.16 以下のバージョンにおいて、wdkit_handle_review_submission 関数を経由した認証が欠落する脆弱性があります。これは、ユーザーがアクションを実行する権限があるかどうかをプラグインが適切に検証していないことが原因です。これにより、認証されていない攻撃者が外部サービスにフィードバックデータを送信することが可能になります。 | 4.3 |
CVE 2026-01-12 03:00:50.860635 |
| CVE-2025-8726 | WordPress 用 WP Photo Album Plus プラグインは、9.0.11.006 までのすべてのバージョンにおいて、 wppa_user_upload 関数の入力サニタイズと出力エスケープが不十分なため、 クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、フォトアルバムの記述に任意のウェブスクリプトを注入し、被害者のブラウザで実行することが可能になります。 | 5.4 |
CVE 2026-01-12 03:00:50.860029 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.