WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-6070 1.8.0.4以前のIf-So Dynamic Content Personalization WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-10-21 03:00:09.052288
CVE-2024-5744 10.6.7以前のwp-eMember WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力していないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 6.8 CVE
2024-10-21 03:00:09.051730
CVE-2024-5715 10.6.7以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしていません。 7.1 CVE
2024-10-21 03:00:09.051198
CVE-2024-5713 1.8.0.4以前のIf-So Dynamic Content Personalization WordPressプラグインでは、$_SERVER['REQUEST_URI']パラメータをエスケープしてから属性に出力しないため、古いウェブブラウザでReflected Cross-Site Scriptingが発生する可能性があります。 5.4 CVE
2024-10-21 03:00:09.050631
CVE-2024-5644 4.6.1以前のTournamatch WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 5.4 CVE
2024-10-21 03:00:09.050075
CVE-2024-5575 3.1.43以前のDitty WordPressプラグインでは、ブロックの設定の一部がサニタイズおよびエスケープされないため、unfiltered_htmlが許可されていない場合でも、作者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.7 CVE
2024-10-21 03:00:09.049509
CVE-2024-5472 3.8.7より前のWP QuickLaTeX WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 7.1 CVE
2024-10-21 03:00:09.048938
CVE-2024-5450 2.1.1より前のBug Library WordPressプラグインは、ユーザーが提出したバグレポートのファイルタイプをチェックしないため、認証されていないユーザーがPHPファイルをアップロードできてしまう。 9.1 CVE
2024-10-21 03:00:09.048345
CVE-2024-5442 3.59.3以前のPhoto Gallery, Sliders, Proofing and WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.9 CVE
2024-10-21 03:00:09.047824
CVE-2024-5287 6.5.1 より前の wp-affiliate-platform WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、攻撃者はログインしているユーザーに CSRF 攻撃で設定を変更させることができます。 7.1 CVE
2024-10-21 03:00:09.047282
CVE-2024-5286 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 4.8 CVE
2024-10-21 03:00:09.046690
CVE-2024-5284 6.5.1 より前の wp-affiliate-platform WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 6.8 CVE
2024-10-21 03:00:09.046106
CVE-2024-5283 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.045556
CVE-2024-5282 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.045031
CVE-2024-5281 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.044478
CVE-2024-5280 6.5.1以前のWordPressプラグインwp-affiliate-platformにはCSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はCSRF攻撃によって非ログインユーザーにXSSペイロードを実行させることができる。 4.7 CVE
2024-10-21 03:00:09.043919
CVE-2024-5167 1.4.9以前のCM Email Registration Blacklist and Whitelist WordPressプラグインは、ブラックリストまたはホワイトリストから項目を追加または削除する際にCSRFチェックを行っていないため、攻撃者はログインした管理者にCSRF攻撃によってブラックリストまたはホワイトリストのメニューから設定を追加または削除させることができる。 8.1 CVE
2024-10-21 03:00:09.043311
CVE-2024-5151 4.3.1以前のSULly WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 7.1 CVE
2024-10-21 03:00:09.042710
CVE-2024-5080 10.6.6以前のwp-eMember WordPressプラグインは、アップロードされるファイルを検証しないため、管理者がサーバー上にPHPなどの任意のファイルをアップロードできる可能性がある。 8.8 CVE
2024-10-21 03:00:09.042158
CVE-2024-5079 10.6.7より前のwp-eMember WordPressプラグインは、メンバー登録時のフィールドの一部をサニタイズおよびエスケープしていないため、認証されていないユーザーがストアドクロスサイトスクリプティング攻撃を行う可能性がある。 6.1 CVE
2024-10-21 03:00:09.041559
CVE-2024-5077 10.6.6より前のwp-eMember WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 6.8 CVE
2024-10-21 03:00:09.040993
CVE-2024-5076 10.6.6以前のwp-eMember WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 8.8 CVE
2024-10-21 03:00:09.040429
CVE-2024-5075 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 5.9 CVE
2024-10-21 03:00:09.039775
CVE-2024-5074 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 5.4 CVE
2024-10-21 03:00:09.039210
CVE-2024-5034 4.3.1以前のSULly WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性がある。 8.8 CVE
2024-10-21 03:00:09.038586
CVE-2024-5033 4.3.1より前のSULly WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 5.9 CVE
2024-10-21 03:00:09.038071
CVE-2024-5032 4.3.1以前のSULly WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクトクロスサイトスクリプティングが発生します。 4.7 CVE
2024-10-21 03:00:09.037524
CVE-2024-5028 1.3.9以前のCM WordPress Search And Replace Plugin WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 6.5 CVE
2024-10-21 03:00:09.036964
CVE-2024-5002 20240516以前のUser Submitted Posts WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-10-21 03:00:09.036369
CVE-2024-4977 1.4.18より前のIndex WP MySQL For Speed WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 6.8 CVE
2024-10-21 03:00:09.035756
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] (3992)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.