WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-9205 | WordPress 用 WooCommerce プラグイン Maximum Products per User には、4.2.8 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-17 23:00:07.188862 |
| CVE-2024-9072 | WordPress 用 GDPR-Extensions-com - Consent Manager プラグインは、1.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを介した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-17 23:00:07.188180 |
| CVE-2024-9066 | WordPress 用の Marketing and SEO Booster プラグインは、1.9.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者が、ユーザーが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-17 23:00:07.187542 |
| CVE-2024-9065 | WordPress 用 WP Helper Premium プラグインは、4.6.1 までのすべてのバージョンにおいて、'whp_smtp_send_mail_test' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が、脆弱なWordPressインスタンスから任意の受信者に、任意のコンテンツを含むメールを送信することが可能になります。 | 5.3 |
CVE 2025-01-17 23:00:07.186803 |
| CVE-2024-9064 | WordPress 用 Elementor Inline SVG プラグインは、1.2.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-17 23:00:07.185988 |
| CVE-2024-9057 | Curator.io:WordPress 用のプラグインは、1.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'feed_id' 属性を介した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-17 23:00:07.185086 |
| CVE-2024-8987 | WordPress 用プラグイン Youzify - BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress は、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザーから提供された属性の出力エスケープが不十分なため、プラグインの youzify_media ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-17 23:00:07.183974 |
| CVE-2024-8729 | WordPress 用 Easy Social Share Buttons プラグインは、1.4.5 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.1 |
CVE 2025-01-17 23:00:07.183143 |
| CVE-2024-8513 | QA Analytics - Web Analytics Tool with Heatmaps & Session Replay Across All Pages plugin for WordPress は、4.1.0.0 までのすべてのバージョンにおいて、ajax_save_plugin_config() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。 このため、認証されていない攻撃者がプラグインの設定を更新する可能性があります。 | 5.3 |
CVE 2025-01-17 23:00:07.178952 |
| CVE-2024-47334 | Zoho Flow Zoho Flow for WordPress に SQL インジェクションの脆弱性(SQL コマンドで使用される特殊要素の不適切な中和)が存在します。この問題は、Zoho Flow for WordPress の n/a から 2.7.1 に影響します。 | 7.6 |
CVE 2025-01-17 09:00:07.826813 |
| CVE-2024-9451 | WordPress 用 Embed PDF Viewer プラグインは、2.4.4 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、'height' と 'width' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-17 03:00:14.479791 |
| CVE-2024-9449 | WordPress 用 Auto iFrame プラグインは、1.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'tag' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。このため、認証された攻撃者(Author レベル以上のアクセス権を持つ者)により、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-17 03:00:14.478971 |
| CVE-2024-5968 | 1.8.28以前のPhoto Gallery by 10Web WordPressプラグインは、ギャラリー設定の一部を適切にサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-01-17 03:00:14.476234 |
| CVE-2024-7963 | WordPress 用 CMSMasters Content Composer プラグインは、1.8.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの複数のショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-16 23:00:06.602108 |
| CVE-2024-8482 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.3.982 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-16 09:00:15.482209 |
| CVE-2024-8431 | WordPress 用 Rbs Image Gallery プラグインの Photo Gallery, Images, Slider には、3.2.21 までのすべてのバージョンで ajaxGetGalleryJson() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、非公開の投稿タイトルを取得することが可能です。 | 4.3 |
CVE 2025-01-16 09:00:15.481596 |
| CVE-2024-9207 | WordPress 用 BuddyPress Docs プラグインは、2.2.3 までのすべてのバージョンにおいて、 URL に適切なエスケープをせずに remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合に、任意のウェブスクリプトをページ内に注入して実行させることが可能になります。 | 6.1 |
CVE 2025-01-16 09:00:15.480785 |
| CVE-2024-8488 | WordPress 用の Survey Maker プラグインは、4.9.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、アンケートフィールドを介した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2025-01-16 09:00:15.480137 |
| CVE-2024-8629 | WordPress 用 WooCommerce Multilingual & Multicurrency with WPML プラグインは、5.3.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-16 09:00:15.479522 |
| CVE-2024-8433 | The Easy Mega Menu Plugin for WordPress - ThemeHunk plugin for WordPress は、1.1.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'themehunk_megamenu_bg_image' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、1.1.0 で追加された認証保護機能により、部分的に修正されています。 | 6.4 |
CVE 2025-01-16 09:00:15.478873 |
| CVE-2024-8943 | WordPress 用 LatePoint プラグインは、5.0.12 までのバージョンにおいて、認証バイパスの脆弱性があります。これは、顧客の予約ステップで提供されるユーザーの検証が不十分なためです。このため、認証されていない攻撃者は、ユーザーIDにアクセスできる場合、管理者のようなサイト上の既存のユーザーとしてログインすることが可能です。WordPressユーザーとしてログインできるのは、"Use WordPress users as customers "設定が有効になっている場合のみで、デフォルトでは無効になっていることに注意してください。この脆弱性はバージョン 5.0.12 で部分的に修正され、バージョン 5.0.13 で完全に修正されました。 | 9.8 |
CVE 2025-01-16 09:00:15.478127 |
| CVE-2024-8911 | WordPress 用 LatePoint プラグインは、5.0.11 までのバージョンにおいて、 SQL インジェクションによる任意のユーザパスワード変更の脆弱性があります。これは、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないことが原因です。このため、認証されていない攻撃者がユーザーのパスワードを変更し、管理者アカウントを乗っ取る可能性があります。WordPressユーザーのパスワードを変更できるのは、「WordPressユーザーを顧客として使用する」設定が有効になっている場合のみで、デフォルトでは無効になっていることに注意してください。この設定が有効でない場合、プラグインの顧客のパスワードのみが変更可能で、それは別のデータベーステーブルで保存・管理されます。 | 9.8 |
CVE 2025-01-16 09:00:15.477269 |
| CVE-2022-4534 | WordPress 用の Limit Login Attempts (Spam Protection) プラグインは、5.3 までのバージョンにおいて IP Address Spoofing の脆弱性があります。これは、リクエストのロギングとログイン制限のために IP アドレス情報を取得する場所の制限が不十分なためです。攻撃者は、X-Forwarded-For ヘッダーにログに記録される別の IP アドレスを入力することができ、IP アドレスや国によるログインをブロックする設定を回避するために使用することができます。 | 5.3 |
CVE 2025-01-16 09:00:15.474623 |
| CVE-2024-8964 | WordPress 用 Image Optimizer, Resizer and CDN - Sirv プラグインは、7.2.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-16 03:00:07.008715 |
| CVE-2024-9292 | WordPress 用 Bridge Core プラグインは、3.2.0 までのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが 不十分なため、'formforall' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-16 03:00:07.007543 |
| CVE-2024-9021 | 4.23.1以前のRelevanssi WordPressプラグインをテストする過程で、悪意のあるスクリプトを埋め込むことで、Contributor+に代わってStored XSSを実装できる脆弱性が見つかりました。 | 5.4 |
CVE 2025-01-16 03:00:07.006709 |
| CVE-2024-8983 | 2.2.3以前のCustom Twitter Feeds WordPressプラグインは、その設定の一部をフィルタリングしておらず、高権限ユーザーがスクリプトを注入できるようになっています。 | 4.8 |
CVE 2025-01-16 03:00:07.003942 |
| CVE-2024-47327 | Eyal Fitoussi GEO my WordPressにおけるWebページ生成時の入力の不適切な中和(XSSまたは「クロスサイトスクリプティング」)の脆弱性により、Reflected XSSが可能です。この問題は、n/aから4.5.0.3までのGEO my WordPressに影響します。 | 7.1 |
CVE 2025-01-14 09:00:30.200173 |
| CVE-2024-47368 | Leap13 Premium Blocks - Gutenberg Blocks for WordPress に、Web ページ生成時の入力の不適切な中和(XSS または 'クロスサイトスクリプティング' )の脆弱性があり、Stored XSS が可能です。この問題は、Premium Blocks - Gutenberg Blocks for WordPress: n/a から 2.1.33 に影響します。 | 6.5 |
CVE 2025-01-14 09:00:30.197774 |
| CVE-2024-47386 | この問題は、The Ultimate WordPress Toolkit - WP Extended の n/a から 3.0.8 までのバージョンに影響します。 | 7.1 |
CVE 2025-01-13 09:00:07.601653 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.