WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-9710 | 2.5.3以前のResponsive Lightbox & Gallery WordPressプラグインでは、HTMLタグ属性の変更が適切に処理されないため、認証されていない攻撃者が機能を悪用してイベントハンドラを含め、Stored XSS攻撃を行う可能性があります。 | 6.3 |
CVE 2026-01-14 03:00:05.044395 |
| CVE-2025-9703 | 2.5.0より前のUltimate Addons for Elementor (Formerly Elementor Header & Footer Builder) WordPressプラグインは、xmlrpc.phpエンドポイントを通してbase64エンコードを使ってアップロードされたSVGファイルの内容をサニタイズしておらず、クロスサイトスクリプティングの脆弱性がある。 | 4.3 |
CVE 2026-01-14 03:00:05.041214 |
| CVE-2025-9952 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、5.20.2 までのすべてのバージョンにおいて、'range-date' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-12 03:00:50.864727 |
| CVE-2025-9886 | Trinity Audio - Text to Speech AI audio player to convert content into audio plugin for WordPress には、5.20.2 までのすべてのバージョンにおいて、Cross-Site Request Forgery の脆弱性があります。これは、'/admin/inc/post-management.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができる、偽造されたリクエストを介して投稿を有効化/無効化することが可能です。 | 4.3 |
CVE 2026-01-12 03:00:50.864136 |
| CVE-2025-10383 | Contest Gallery - Upload, Vote & Sell with PayPal and Stripe plugin for WordPress には、27.0.2 までのすべてのバージョンにおいて、複数のフォームフィールドパラメータを介した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが入力した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。このため、作者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能であり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-12 03:00:50.863542 |
| CVE-2025-9485 | WordPress 用 OAuth Single Sign On - SSO (OAuth Client) プラグインは、6.26.12 までのバージョンにおいて、暗号署名の不適切な検証の脆弱性があります。これは、プラグインが `get_resource_owner_from_id_token` 関数で検証や妥当性確認を行わずに安全でない JWT トークン処理を行うことに起因します。このため、認証されていない攻撃者が認証をバイパスして既存のユーザーアカウント(特定の設定における管理者を含む)にアクセスしたり、任意の購読者レベルのアカウントを作成したりすることが可能になる。 | 9.8 |
CVE 2026-01-12 03:00:50.862841 |
| CVE-2025-9243 | WordPress 用の Cost Calculator Builder プラグインは、3.5.32 までのすべてのバージョンにおいて、get_cc_orders および update_order_status 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が注文管理機能にアクセスし、注文ステータスを変更することが可能です。 | 8.1 |
CVE 2026-01-12 03:00:50.861772 |
| CVE-2025-9030 | WordPress用Majestic Before After Imageプラグインは、2.0.1以下のバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'before_label'および'after_label'パラメータを介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 5.4 |
CVE 2026-01-12 03:00:50.861217 |
| CVE-2025-9029 | WDesignKit - Elementor & Gutenberg Starter Templates, Patterns, Cloud Workspace & Widget Builder plugin for WordPress には、1.2.16 以下のバージョンにおいて、wdkit_handle_review_submission 関数を経由した認証が欠落する脆弱性があります。これは、ユーザーがアクションを実行する権限があるかどうかをプラグインが適切に検証していないことが原因です。これにより、認証されていない攻撃者が外部サービスにフィードバックデータを送信することが可能になります。 | 4.3 |
CVE 2026-01-12 03:00:50.860635 |
| CVE-2025-8726 | WordPress 用 WP Photo Album Plus プラグインは、9.0.11.006 までのすべてのバージョンにおいて、 wppa_user_upload 関数の入力サニタイズと出力エスケープが不十分なため、 クロスサイトスクリプティングの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、フォトアルバムの記述に任意のウェブスクリプトを注入し、被害者のブラウザで実行することが可能になります。 | 5.4 |
CVE 2026-01-12 03:00:50.860029 |
| CVE-2025-11228 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、`registerAssociateFormsWithCampaign` 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、認証されていない攻撃者が任意の寄付フォームを任意のキャンペーンに関連付けることが可能です。 | 5.3 |
CVE 2026-01-12 03:00:50.859433 |
| CVE-2025-11227 | GiveWP - Donation Plugin and Fundraising Platform plugin for WordPress は、4.10.0 までのすべてのバージョンにおいて、'registerGetForm'、'registerGetForms'、'registerGetCampaign'、'registerGetCampaigns' 関数を経由した情報漏えいの脆弱性があります。これにより、認証されていない攻撃者が、非公開の寄付フォームや下書きの寄付フォーム、アーカイブされたキャンペーンからデータを抽出することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.858282 |
| CVE-2025-10746 | WordPress 用 Integrate Dynamics 365 CRM プラグインには、1.0.9 までのすべてのバージョンにおいて不正アクセスの脆弱性があります。これは、'init' にフックされた関数におけるケイパビリティチェックと nonce 検証の欠落によるものです。これにより、認証されていない攻撃者がプラグインを非アクティブにし、OAuth 設定を改ざんし、脆弱なエンドポイントへの直接リクエストを経由して機密データを公開するテスト接続をトリガーし、特定のパラメータで悪意のあるリクエストを作成することが可能になります。 | 6.5 |
CVE 2026-01-12 03:00:50.854436 |
| CVE-2025-9945 | WordPress 用 CSS プラグイン Optimize More!- CSS plugin for WordPress には、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、reset_plugin 関数における nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの最適化設定をリセットすることが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.202750 |
| CVE-2025-9897 | WordPress 用 AP Background プラグインは、3.8.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは advParallaxBackAdminSaveSlider 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる、偽造されたリクエストを介して背景スライダーを作成または変更することが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.202005 |
| CVE-2025-9895 | WordPress 用 Notification Bar プラグインには、2.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'subscriber-list-empty.php' ファイルにおける nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストによって購読者リストを空にすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.200806 |
| CVE-2025-9892 | WordPress 用 Restrict User Registration プラグインには、1.0.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、update() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを介してプラグインの設定を更新することが可能になります。 | 5.3 |
CVE 2026-01-11 09:00:15.199910 |
| CVE-2025-9889 | WordPress用のContentMX Content Publisherプラグインは、1.0.6までのすべてのバージョンにおいて、クロスサイト・リクエスト・フォージェリの脆弱性があります。これは、cmx_activate_connection関数のnonce検証の欠落または不正確な検証によるものです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションをサイト管理者に実行させるために、偽造されたリクエストを使用して独自のContentMX接続をバインドすることが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.199390 |
| CVE-2025-9885 | WordPress 用 MPWizard - Create Mercado Pago Payment Links プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'/includes/admin/class-mpwizard-table.php' ファイルにおける nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができ、付与された偽造リクエストによって任意の投稿を削除することが可能です。 | 4.3 |
CVE 2026-01-11 09:00:15.198865 |
| CVE-2025-9884 | WordPress 用の Mobile Site Redirect プラグインには、1.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-01-11 09:00:15.198093 |
| CVE-2025-9876 | WordPress 用 Ird Slider プラグインは、1.0.2 までのすべてのバージョンにおいて、 ユーザーが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'irdslider' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2026-01-11 09:00:15.197329 |
| CVE-2025-9875 | WordPress 用の Event Tickets, RSVPs, Calendar プラグインは、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'ticket_spot' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.196834 |
| CVE-2025-9859 | WordPress 用 Fintelligence Calculator プラグインは、1.0.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'fintelligence-calculator' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.196309 |
| CVE-2025-9858 | WordPress 用プラグイン Auto Bulb Finder for WordPress には、2.8.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'abf_vehicle' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.195607 |
| CVE-2025-9854 | WordPress 用 A Simple Multilanguage Plugin プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'asmp-switcher' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-11 09:00:15.194999 |
| CVE-2025-9630 | WordPress 用 WP SinoType プラグインは、1.0 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは sinotype_config 関数の nonce 検証の欠落または不正確さによるものです。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによってタイポグラフィの設定を変更することが可能になります。 | 4.3 |
CVE 2026-01-11 09:00:15.194139 |
| CVE-2025-9561 | WordPress 用 AP Background プラグインは、バージョン 3.8.1 から 3.8.2 において、 advParallaxBackAdminSaveSlider() ハンドラ内の認可と不十分なファイル検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2026-01-11 09:00:15.193602 |
| CVE-2025-9372 | WordPress 用の Ultimate Multi Design Video Carousel プラグインは、1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、エディタレベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.192796 |
| CVE-2025-9333 | WordPress 用 Smart Docs プラグインは、1.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.192272 |
| CVE-2025-9332 | WordPress 用の Interactive Human Anatomy with Clickable Body Parts プラグインは、2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2026-01-11 09:00:15.191703 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.