WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2025-0688 0.9.10までのWordPressプラグイン「Spiritual Gifts Survey」(およびオプションの「S.H.A.P.E survey」)は、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用される可能性のあるリフレクト・クロスサイト・スクリプティングが発生します。 6.1 CVE
2025-08-23 09:00:08.628639
CVE-2025-0687 0.9.10までのWordPressプラグイン「Spiritual Gifts Survey」(およびオプションの「S.H.A.P.E survey」)は、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、認証されていないユーザーに対してのみ使用される可能性のあるリフレクト・クロスサイト・スクリプティングにつながります。 6.1 CVE
2025-08-23 09:00:08.627281
CVE-2025-0329 6.2.4より前のAI ChatBot for WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.626176
CVE-2024-9882 1.9.4以前のSalon Booking System, Appointment Scheduling for Salons, Spas & Small Businesses WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.624962
CVE-2024-9879 2.1.1以前のMelapress File Monitor WordPressプラグインは、SQLステートメントでパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 5.4 CVE
2025-08-23 09:00:08.624046
CVE-2024-9838 Auto Affiliate Links WordPressプラグイン6.4.7以前のバージョンでは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしていないため、管理者がSQLインジェクション攻撃を行うことができる。 5.4 CVE
2025-08-23 09:00:08.623089
CVE-2024-9831 3.0.9より前のTaskbuilder WordPressプラグインは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができる。 7.2 CVE
2025-08-23 09:00:08.622341
CVE-2024-9765 2.2.2以前のEKC Tournament Manager WordPressプラグインでは、ログインした管理者がWordPressディレクトリの外にあるシステムファイルをダウンロードすることができます。 6.5 CVE
2025-08-23 09:00:08.621149
CVE-2024-9711 2.2.2 より前の EKC Tournament Manager WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.620251
CVE-2024-9709 2.2.2 より前の EKC Tournament Manager WordPress プラグインでは、設定を更新する際に CSRF チェックが行われていないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.619036
CVE-2024-9663 2.5.3以前のCYAN Backup WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.617723
CVE-2024-9662 2.5.3以前のCYAN Backup WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.616826
CVE-2024-9645 2.2.93より前のPost Grid, Posts Slider, Posts Carousel, Post Filter, Post Masonry WordPressプラグインは、ブロックが埋め込まれているページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしません。 5.4 CVE
2025-08-23 09:00:08.615621
CVE-2024-9599 4.7.8より前のPopup Box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.614276
CVE-2024-9450 1.3.15より前のFree Booking Plugin for Hotels, Restaurants and Car Rentals WordPressプラグインは、設定を更新する際にCSRFチェックが行われていないため、攻撃者はログインした購読者にCSRF攻撃によって設定を変更させることができる。 6.5 CVE
2025-08-23 09:00:08.613465
CVE-2024-9390 6.0.2.1より前のRegistrationMagic WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.612660
CVE-2024-9238 1.1.1以前のAVIF Uploader WordPressプラグインは、アップロードされたSVGファイルをサニタイズしないため、Author程度のロールを持つユーザがXSSペイロードを含む悪意のあるSVGをアップロードできる可能性があります。 5.4 CVE
2025-08-23 09:00:08.611789
CVE-2024-9236 4.4.2以前のTeam WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.610341
CVE-2024-9233 3.7.1以前のLogo Slider WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 4.3 CVE
2025-08-23 09:00:08.609486
CVE-2024-9227 11.9.18以前のBlubrry WordPressプラグインによるPowerPress Podcastingプラグインは、ポッドキャストを追加する際に設定の一部をサニタイズおよびエスケープしません。このため、unfiltered_html機能が許可されていない場合でも、管理者ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.608930
CVE-2024-9182 2.1.3以前のMaspik WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.608071
CVE-2024-8854 1.0.77より前のPolls CP WordPressプラグインは、ポーリング設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.607221
CVE-2024-8851 1.0.77より前のPolls CP WordPressプラグインは、ポーリング設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.605840
CVE-2024-8759 3.2.9より前のNested Pages WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.604129
CVE-2024-8703 1.11.6より前のZ-Downloads WordPressプラグインは、ページ内でパラメータを出力する際に、一部のパラメータをサニタイズおよびエスケープしていないため、認証されていない訪問者が共有URLにアクセスする際にクロスサイトスクリプティング攻撃を行う可能性があります。 6.1 CVE
2025-08-23 09:00:08.603259
CVE-2024-8702 4.9までのBackup Database WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.602446
CVE-2024-8701 1.0.4までのevents-calendar WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.601523
CVE-2024-8700 Event Calendar WordPressプラグイン1.0.4では、削除アクションの認証チェックが行われないため、認証されていないユーザが任意のカレンダーを削除できてしまいます。 7.5 CVE
2025-08-23 09:00:08.600610
CVE-2024-8699 1.11.5より前のZ-Downloads WordPressプラグインは、アップロードされたファイルを適切に検証しないため、管理者のような高い権限を持つユーザーが、許可されていないにもかかわらず、サーバー上に任意のファイルをアップロードできてしまいます(マルチサイト設定など)。 7.2 CVE
2025-08-23 09:00:08.599293
CVE-2024-8673 1.11.7以前のZ-Downloads WordPressプラグインは、アップロードされたファイルを適切に検証しないため、悪意のあるJavaScriptを含むSVGをアップロードしてしまう可能性があります。 9.1 CVE
2025-08-23 09:00:08.598470
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.