見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2024-6070 | 1.8.0.4以前のIf-So Dynamic Content Personalization WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2024-10-21 03:00:09.052288 |
CVE-2024-5744 | 10.6.7以前のwp-eMember WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力していないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 | 6.8 |
CVE 2024-10-21 03:00:09.051730 |
CVE-2024-5715 | 10.6.7以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしていません。 | 7.1 |
CVE 2024-10-21 03:00:09.051198 |
CVE-2024-5713 | 1.8.0.4以前のIf-So Dynamic Content Personalization WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力しないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 | 5.4 |
CVE 2024-10-21 03:00:09.050631 |
CVE-2024-5644 | 4.6.1以前のTournamatch WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 5.4 |
CVE 2024-10-21 03:00:09.050075 |
CVE-2024-5575 | 3.1.43以前のDitty WordPressプラグインでは、ブロックの設定の一部がサニタイズおよびエスケープされないため、unfiltered_htmlが許可されていない場合でも、作者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.7 |
CVE 2024-10-21 03:00:09.049509 |
CVE-2024-5472 | 3.8.7より前のWP QuickLaTeX WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 7.1 |
CVE 2024-10-21 03:00:09.048938 |
CVE-2024-5450 | 2.1.1より前のBug Library WordPressプラグインは、ユーザーが提出したバグレポートのファイルタイプをチェックしないため、認証されていないユーザーがPHPファイルをアップロードできてしまう。 | 9.1 |
CVE 2024-10-21 03:00:09.048345 |
CVE-2024-5442 | 3.59.3以前のPhoto Gallery, Sliders, Proofing and WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2024-10-21 03:00:09.047824 |
CVE-2024-5287 | 6.5.1 より前の wp-affiliate-platform WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、攻撃者はログインしているユーザーに CSRF 攻撃で設定を変更させることができます。 | 7.1 |
CVE 2024-10-21 03:00:09.047282 |
CVE-2024-5286 | 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 | 4.8 |
CVE 2024-10-21 03:00:09.046690 |
CVE-2024-5284 | 6.5.1 より前の wp-affiliate-platform WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 | 6.8 |
CVE 2024-10-21 03:00:09.046106 |
CVE-2024-5283 | 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2024-10-21 03:00:09.045556 |
CVE-2024-5282 | 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2024-10-21 03:00:09.045031 |
CVE-2024-5281 | 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2024-10-21 03:00:09.044478 |
CVE-2024-5280 | 6.5.1以前のWordPressプラグインwp-affiliate-platformにはCSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はCSRF攻撃によって非ログインユーザーにXSSペイロードを実行させることができる。 | 4.7 |
CVE 2024-10-21 03:00:09.043919 |
CVE-2024-5167 | 1.4.9以前のCM Email Registration Blacklist and Whitelist WordPressプラグインは、ブラックリストまたはホワイトリストから項目を追加または削除する際にCSRFチェックを行っていないため、攻撃者はログインした管理者にCSRF攻撃によってブラックリストまたはホワイトリストのメニューから設定を追加または削除させることができる。 | 8.1 |
CVE 2024-10-21 03:00:09.043311 |
CVE-2024-5151 | 4.3.1以前のSULly WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 7.1 |
CVE 2024-10-21 03:00:09.042710 |
CVE-2024-5080 | 10.6.6以前のwp-eMember WordPressプラグインは、アップロードされるファイルを検証しないため、管理者がサーバー上にPHPなどの任意のファイルをアップロードできる可能性がある。 | 8.8 |
CVE 2024-10-21 03:00:09.042158 |
CVE-2024-5079 | 10.6.7より前のwp-eMember WordPressプラグインは、メンバー登録時のフィールドの一部をサニタイズおよびエスケープしていないため、認証されていないユーザーがストアドクロスサイトスクリプティング攻撃を行う可能性がある。 | 6.1 |
CVE 2024-10-21 03:00:09.041559 |
CVE-2024-5077 | 10.6.6より前のwp-eMember WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 | 6.8 |
CVE 2024-10-21 03:00:09.040993 |
CVE-2024-5076 | 10.6.6以前のwp-eMember WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 | 8.8 |
CVE 2024-10-21 03:00:09.040429 |
CVE-2024-5075 | 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 5.9 |
CVE 2024-10-21 03:00:09.039775 |
CVE-2024-5074 | 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 5.4 |
CVE 2024-10-21 03:00:09.039210 |
CVE-2024-5034 | 4.3.1以前のSULly WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性がある。 | 8.8 |
CVE 2024-10-21 03:00:09.038586 |
CVE-2024-5033 | 4.3.1より前のSULly WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 | 5.9 |
CVE 2024-10-21 03:00:09.038071 |
CVE-2024-5032 | 4.3.1以前のSULly WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクトクロスサイトスクリプティングが発生します。 | 4.7 |
CVE 2024-10-21 03:00:09.037524 |
CVE-2024-5028 | 1.3.9以前のCM WordPress Search And Replace Plugin WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 | 6.5 |
CVE 2024-10-21 03:00:09.036964 |
CVE-2024-5002 | 20240516以前のUser Submitted Posts WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2024-10-21 03:00:09.036369 |
CVE-2024-4977 | 1.4.18より前のIndex WP MySQL For Speed WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.8 |
CVE 2024-10-21 03:00:09.035756 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.