WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-12441 | BP Email Assign Templates plugin for WordPress は、1.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.1 |
CVE 2025-03-22 03:00:05.806086 |
| CVE-2024-12406 | WordPress 用の Library Management System - Manage e-Digital Books Library プラグインは、3.0.0 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリに十分な準備がないため、「owt7_borrow_books_id」パラメータを介して SQL インジェクションを受ける脆弱性があります。 これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加の SQL クエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-03-22 03:00:05.805327 |
| CVE-2024-12162 | WordPress 用 Video & Photo Gallery for Ultimate Member プラグインは、1.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.804392 |
| CVE-2024-12156 | WordPress 用の AI Content Writer, RSS Feed to Post, Autoblogging SEO Help プラグインは、入力のサニタイズと出力のエスケープが不十分なため、6.1.3 までのすべてのバージョンにおいて、'page' パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.803710 |
| CVE-2024-11891 | WordPress 用 Perfect Font Awesome Integration プラグインは、2.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'pfai' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.803064 |
| CVE-2024-11875 | WordPress 用 Add infos to the events calendar プラグインは、1.4.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'fuss' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.802309 |
| CVE-2024-11804 | WordPress 用 Planaday API プラグインは、入力のサニタイズと出力のエスケープが不十分なため、11.4 までのすべてのバージョンにおいて、'tab' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.801588 |
| CVE-2024-11750 | WordPress 用の ONLYOFFICE DocSpace プラグインは、2.1.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'onlyoffice-docspace' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.800799 |
| CVE-2024-11723 | WordPress 用 kvCORE IDX プラグインは、2.3.35 までのすべてのバージョンに存在する kvcoreidx_listings_sitemap_ranges, kvcoreidx_listings_sitemap_page, kvcoreidx_agent_profile_sitemap, または kvcoreidx_agent_profile ショートコードを使用したページにおいて、入力のサニタイズと出力のエスケープが不十分なため、任意のパラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.799934 |
| CVE-2024-11709 | WordPress 用の AI Post Generator | AutoWriter プラグインは、3.5 までのすべてのバージョンにおいて ai_post_generator_delete_Post AJAX アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のページや投稿を削除することが可能になります。 | 4.3 |
CVE 2025-03-22 03:00:05.799075 |
| CVE-2024-11459 | WordPress 用 Country Blocker プラグインは、3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'ip' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能です。 | 6.1 |
CVE 2025-03-22 03:00:05.798158 |
| CVE-2024-11410 | お知らせ、通知、広告、プロモーション用のトップバーとフッターバー - WordPress用YooBarプラグインは、2.0.6までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Yooバーの設定を経由したストアドクロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-03-22 03:00:05.797501 |
| CVE-2024-11384 | Arena.IM - Live Blogging for real-time events plugin for WordPress は、0.3.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'arenablog' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.796773 |
| CVE-2024-10910 | The Grid Plus - Unlimited grid layout plugin for WordPress は、1.3.5 までのすべてのバージョンにおいて、grid_plus_load_by_category AJAX アクション経由で任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-03-22 03:00:05.796075 |
| CVE-2024-10590 | WordPress 用 Opt-In Downloads プラグインは、4.07 までのすべてのバージョンにおいて、admin_upload() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。.htaccess ファイルが存在するため、別の脆弱性が存在しない限り、NGINX サーバ上で RCE を達成するためにのみ悪用される可能性があります。 | 8.8 |
CVE 2025-03-22 03:00:05.795198 |
| CVE-2024-10182 | WordPress 用 Cognito Forms プラグインは、2.0.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'id' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.794529 |
| CVE-2024-12461 | WordPress 用 WP-Revive Adserver プラグインは、2.2.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'wprevive_async' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.793776 |
| CVE-2024-12341 | WordPress 用の Custom Skins Contact Form 7 プラグインは、1.0 までのすべてのバージョンにおいて、'cf7cs_action_callback' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の投稿のコンテンツを更新したり、新しいスキンを作成したりすることが可能になります。 | 4.3 |
CVE 2025-03-22 03:00:05.793113 |
| CVE-2024-12338 | WordPress 用 Website Toolbox Community プラグインは、2.0.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'websitetoolbox_username' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをだますことに成功した場合、実行するページで任意のWebスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.792430 |
| CVE-2024-12260 | WordPress 用の Ultimate Endpoints With Rest Api プラグインは、2.2.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.791595 |
| CVE-2024-12258 | WordPress 用の WP Service Payment Form With Authorize.net プラグインは、2.6.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'page' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-22 03:00:05.790855 |
| CVE-2024-11914 | WordPress 用 Gutenberg Blocks and Page Layouts - Attire Blocks プラグインは、1.9.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'attire-blocks/post-carousel' ブロックを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.790143 |
| CVE-2024-11901 | WordPress 用 PowerBI Embed Reports プラグインは、1.1.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'MO_API_POWER_BI' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.789456 |
| CVE-2024-11689 | WordPress 用 HQ Rental Software プラグインには、1.5.29 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、displaySettingsPage() 関数における nonce バリデーションの欠落または不正確さが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを経由して、特権昇格に活用できる任意のオプションを更新することが可能になります。 | 8.8 |
CVE 2025-03-22 03:00:05.788756 |
| CVE-2024-11683 | WordPress 用 Newsletter Subscriptions プラグインは、2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'token_type' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能です。 | 6.1 |
CVE 2025-03-22 03:00:05.788069 |
| CVE-2024-11443 | WordPress 用 de:branding プラグインは、1.0.2 までのすべてのバージョンにおいて、debranding_save() 関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新できるようになります。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 | 8.8 |
CVE 2025-03-22 03:00:05.787466 |
| CVE-2024-11442 | WordPress 用の Horizontal scroll image slideshow プラグインは、10.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'horizontal-scroll-image-slideshow' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.786751 |
| CVE-2024-11433 | WordPress 用 Surbma | SalesAutopilot Shortcode プラグインは、2.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'sa-form' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.786105 |
| CVE-2024-11430 | WordPress 用の SQL Chart Builder プラグインは、2.3.6 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'gvn_schart_2' ショートコードの 'arg1' arg を経由した SQL インジェクションの脆弱性があります。 これにより、コントリビュータレベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-03-22 03:00:05.785420 |
| CVE-2024-11427 | WordPress 用 Catch Popup プラグインは、1.4.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'catch-popup' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-22 03:00:05.784663 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.