WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11204 | WordPress 用の RegistrationMagic - Custom Registration Forms, User Registration, Payment, and User Login プラグインは、6.0.6.2 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、SQL インジェクションの脆弱性があります。これにより、管理者以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。認証されていない攻撃者は、フォームの送信時にユーザーエージェントを介して注入されたクロスサイト・スクリプティングを利用し、これを利用してリフレクト・クロスサイト・スクリプティングを実現することができる。 | 7.2 |
CVE 2026-01-16 03:00:06.720337 |
| CVE-2025-10587 | WordPress 用 Community Events プラグインは、1.5.1 までのすべてのバージョンにおいて、event_category パラメータを経由した SQL インジェクションの脆弱性があります。 このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 9.8 |
CVE 2026-01-16 03:00:06.718807 |
| CVE-2025-10494 | WordPress 用プラグイン Motors - Car Dealership & Classified Listings プラグインは、1.4.89 までのすべてのバージョンにおいて、プロフィール画像を削除する際のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除された場合にリモートでコードが実行される可能性があります。 | 8.1 |
CVE 2026-01-16 03:00:06.715281 |
| CVE-2025-2940 | WordPress 用 Ninja Tables - Easy Data Table Builder プラグインは、5.0.18 までのすべてのバージョンにおいて、 args[url] パラメータを経由した Server-Side Request Forgery の脆弱性があります。これにより、認証されていない攻撃者がウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の問い合わせや変更に利用される可能性があります。 | 7.2 |
CVE 2026-01-15 23:00:04.768413 |
| CVE-2025-10645 | WordPress 用 WP Reset プラグインは、2.05 までのすべてのバージョンにおいて、デバッグが有効な場合 (デフォルト)、WF_Licensing::log() メソッドを経由して、機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が機密ライセンスキーとサイトデータを抽出することが可能になります。 | 5.3 |
CVE 2026-01-15 09:00:11.938195 |
| CVE-2025-2800 | WP Event Manager - Events Calendar, Registrations, Sell Tickets with WooCommerce plugin for WordPress は、3.1.50 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'organizer_name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-15 03:00:11.198383 |
| CVE-2025-7400 | WordPress の Featured Image from URL (FIFU) プラグインは、5.2.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、投稿の Featured Image カスタムフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性はバージョン 5.2.2 で部分的に修正されました。 | 6.4 |
CVE 2026-01-15 03:00:10.971158 |
| CVE-2025-10162 | WooCommerceの注文後の管理者と顧客のメッセージ:OrderConvo WordPress プラグイン 14 より前のバージョンでは、ダウンロードされるファイルのパスが検証されないため、認証されていない攻撃者がパストラバーサル攻撃によって任意のファイルを読み込んだりダウンロードしたりできる可能性があります。 | 7.5 |
CVE 2026-01-15 03:00:10.968428 |
| CVE-2025-1123 | Solid Mail - SMTP email and logging made by SolidWP plugin for WordPress は、2.1.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、メール名、件名、本文を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-01-14 23:00:08.124199 |
| CVE-2025-4799 | WordPress 用 WP-DownloadManager プラグインは、1.68.10 までのすべてのバージョンにおいて、ファイルを削除できるディレクトリに制限がないため、任意のファイルを削除される脆弱性があります。このため、Administrator レベル以上のアクセス権を持つ認証済みの攻撃者は、サーバ上の任意のファイルを削除することが可能で、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。この脆弱性は CVE-2025-4798 と組み合わせることで、WordPress のルートディレクトリ内の任意のファイルを削除することができます。 | 7.2 |
CVE 2026-01-14 09:00:08.352684 |
| CVE-2025-9710 | 2.5.3以前のResponsive Lightbox & Gallery WordPressプラグインでは、HTMLタグ属性の変更が適切に処理されないため、認証されていない攻撃者が機能を悪用してイベントハンドラを含め、Stored XSS攻撃を行う可能性があります。 | 6.3 |
CVE 2026-01-14 03:00:05.044395 |
| CVE-2025-9703 | 2.5.0より前のUltimate Addons for Elementor (Formerly Elementor Header & Footer Builder) WordPressプラグインは、xmlrpc.phpエンドポイントを通してbase64エンコードを使ってアップロードされたSVGファイルの内容をサニタイズしておらず、クロスサイトスクリプティングの脆弱性がある。 | 4.3 |
CVE 2026-01-14 03:00:05.041214 |
| CVE-2025-9952 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、5.20.2 までのすべてのバージョンにおいて、'range-date' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-12 03:00:50.864727 |
| CVE-2025-9886 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress には、5.20.2 までのすべてのバージョンにおいて、Cross-Site Request Forgery の脆弱性があります。これは、'/admin/inc/post-management.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができる、偽造されたリクエストを介して投稿を有効化/無効化することが可能です。 | 4.3 |
CVE 2026-01-12 03:00:50.864136 |
| CVE-2025-10383 | Contest Gallery - Upload, Vote & Sell with PayPal and Stripe plugin for WordPress には、27.0.2 までのすべてのバージョンにおいて、複数のフォームフィールドパラメータを介した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが入力した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。このため、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能であり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-12 03:00:50.863542 |
| CVE-2025-9485 | WordPress 用 OAuth Single Sign On - SSO (OAuth Client) プラグインは、6.26.12 までのバージョンにおいて、暗号署名の不適切な検証の脆弱性があります。これは、プラグインが `get_resource_owner_from_id_token` 関数で検証や妥当性確認を行わずに安全でない JWT トークン処理を行うことに起因します。このため、認証されていない攻撃者が認証をバイパスして既存のユーザーアカウント(特定の設定における管理者を含む)にアクセスしたり、任意の購読者レベルのアカウントを作成したりすることが可能になる。 | 9.8 |
CVE 2026-01-12 03:00:50.862841 |
| CVE-2025-9243 | WordPress 用の Cost Calculator Builder プラグインは、3.5.32 までのすべてのバージョンにおいて、get_cc_orders および update_order_status 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が注文管理機能にアクセスし、注文ステータスを変更することが可能です。 | 8.1 |
CVE 2026-01-12 03:00:50.861772 |
| CVE-2025-9030 | WordPress用Majestic Before After Imageプラグインは、2.0.1以下のバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'before_label'および'after_label'パラメータを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 5.4 |
CVE 2026-01-12 03:00:50.861217 |
| CVE-2025-9029 | WDesignKit - Elementor & Gutenberg Starter Templates, Patterns, Cloud Workspace & Widget Builder plugin for WordPress には、1.2.16 以下のバージョンにおいて、wdkit_handle_review_submission 関数を経由した認証が欠落する脆弱性があります。これは、ユーザーがアクションを実行する権限があるかどうかをプラグインが適切に検証していないことが原因です。これにより、認証されていない攻撃者が外部サービスにフィードバックデータを送信することが可能になります。 | 4.3 |
CVE 2026-01-12 03:00:50.860635 |
| CVE-2025-8726 | WordPress 用 WP Photo Album Plus プラグインは、9.0.11.006 までのすべてのバージョンにおいて、 wppa_user_upload 関数の入力サニタイズと出力エスケープが不十分なため、 クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、フォトアルバムの記述に任意のウェブスクリプトを注入し、被害者のブラウザで実行することが可能になります。 | 5.4 |
CVE 2026-01-12 03:00:50.860029 |
| CVE-2025-11228 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、`registerAssociateFormsWithCampaign` 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、認証されていない攻撃者が任意の寄付フォームを任意のキャンペーンに関連付けることが可能です。 | 5.3 |
CVE 2026-01-12 03:00:50.859433 |
| CVE-2025-11227 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、'registerGetForm'、'registerGetForms'、'registerGetCampaign'、'registerGetCampaigns' 関数を経由した情報漏えいの脆弱性があります。これにより、認証されていない攻撃者が、非公開の寄付フォームや下書きの寄付フォーム、アーカイブされたキャンペーンからデータを抽出することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.858282 |
| CVE-2025-10746 | WordPress 用 Integrate Dynamics 365 CRM プラグインには、1.0.9 までのすべてのバージョンにおいて不正アクセスの脆弱性があります。これは、'init' にフックされた関数におけるケイパビリティチェックと nonce 検証の欠落によるものです。これにより、認証されていない攻撃者がプラグインを非アクティブにし、OAuth 設定を改ざんし、脆弱なエンドポイントへの直接リクエストを経由して機密データを公開するテスト接続をトリガーし、特定のパラメータで悪意のあるリクエストを作成することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.854436 |
| CVE-2025-9945 | WordPress 用 CSS プラグイン Optimize More!- CSS plugin for WordPress には、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、reset_plugin 関数における nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの最適化設定をリセットすることが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.202750 |
| CVE-2025-9897 | WordPress 用 AP Background プラグインは、3.8.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは advParallaxBackAdminSaveSlider 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる、偽造されたリクエストを介して背景スライダーを作成または変更することが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.202005 |
| CVE-2025-9895 | WordPress 用 Notification Bar プラグインには、2.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'subscriber-list-empty.php' ファイルにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストによって購読者リストを空にすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.200806 |
| CVE-2025-9892 | WordPress 用 Restrict User Registration プラグインには、1.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、update() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介してプラグインの設定を更新することが可能になります。 | 5.3 |
CVE 2026-01-11 09:00:15.199910 |
| CVE-2025-9889 | WordPress用のContentMX Content Publisherプラグインは、1.0.6までのすべてのバージョンにおいて、クロスサイト・リクエスト・フォージェリの脆弱性があります。これは、cmx_activate_connection関数のnonce検証の欠落または不正確な検証によるものです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを使用して独自のContentMX接続をバインドすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.199390 |
| CVE-2025-9885 | WordPress 用 MPWizard - Create Mercado Pago Payment Links プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'/includes/admin/class-mpwizard-table.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができ、付与された偽造リクエストによって任意の投稿を削除することが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.198865 |
| CVE-2025-9884 | WordPress 用の Mobile Site Redirect プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-11 09:00:15.198093 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.