WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-5041 | WordPress用Happy Addons for Elementorプラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.10.9までのすべてのバージョンにおいて、'ha-ia-content-button'パラメータを経由したStored Cross-Site Scriptingの脆弱性があります。このため、コントリビューター・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-08 09:00:05.319175 |
| CVE-2024-4160 | WordPress 用 Download Manager プラグインは、3.2.90 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wpdm-all-packages' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-08 09:00:05.316410 |
| CVE-2024-5427 | WPCafe - Online Food Ordering, Restaurant Menu, Delivery, and Reservations for WooCommerce plugin for WordPress は、2.2.24 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの予約フォームショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-08 03:00:05.292478 |
| CVE-2024-4379 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.31 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Global Tooltip ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-09-08 03:00:05.291432 |
| CVE-2024-4376 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.31 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Fancy Text ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。4.10.32 にはパッチが適用されていますが、4.10.32 では致命的なエラーが発生するため、4.10.33 へのアップデートが推奨されます。 | 6.4 |
CVE 2024-09-08 03:00:05.290171 |
| CVE-2024-4205 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.31 までのすべてのバージョンにおいて、get_template_content() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が Elementor テンプレートデータを取得することが可能です。 | 4.3 |
CVE 2024-09-08 03:00:05.289129 |
| CVE-2024-5418 | WordPress 用 DethemeKit For Elementor プラグインは、2.1.4 までのすべてのバージョンにおいて、プラグインの De Product Tab & Slide ウィジェット内の 'slitems' 属性を経由した、蓄積型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-08 03:00:05.287228 |
| CVE-2024-5345 | WordPress 用 Elementor プラグイン Responsive Owl Carousel には、1.2.0 までのすべてのバージョンにおいて、 layout パラメータを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これは、画像やその他の「安全な」ファイルタイプをアップロードしてインクルードできる場合に、アクセス制御を回避したり、機密データを取得したり、コードを実行したりするために使用できます。インクルードは PHP ファイルに限定されます。 | 8.8 |
CVE 2024-09-08 03:00:05.284295 |
| CVE-2024-5326 | Post Grid Gutenberg Blocks and WordPress Blog Plugin - PostX plugin for WordPress は、4.1.2 までのすべてのバージョンにおいて、'postx_presets_callback' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイト上の任意のオプションを変更することが可能になります。これは、新規ユーザ登録を有効にし、新規ユーザのデフォルトのロールを管理者に設定するために使用できます。 | 8.8 |
CVE 2024-09-07 09:00:04.696510 |
| CVE-2024-3583 | WordPress 用 Simple Like Page Plugin プラグインは、1.5.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 09:00:04.695633 |
| CVE-2024-4668 | WordPress 用 Gum Elementor Addon プラグインには、1.3.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Price Table ウィジェットおよび Post Slider ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 09:00:04.694777 |
| CVE-2024-4427 | WordPress 用 Comparison Slider プラグインは、1.0.5 までのすべてのバージョンにおいて、いくつかの AJAX アクションのケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーアクセス以上の認証された攻撃者がプラグインの設定を変更したり、スライダーを削除するなどのアクションを実行することが可能になります。 | 4.3 |
CVE 2024-09-07 09:00:04.693921 |
| CVE-2024-4426 | WordPress 用 Comparison Slider プラグインには、1.0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、AJAXアクションにフックされたいくつかの関数におけるnonceバリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる偽造リクエストを介して、スライダーのタイトルを変更したり、スライダーを削除したり、プラグインの設定を変更したりすることが可能になります。 | 4.3 |
CVE 2024-09-07 09:00:04.692996 |
| CVE-2024-4422 | WordPress 用の Comparison Slider プラグインは、1.0.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、スライダーのタイトルパラメーターを経由した Stored Cross-Site Scripting の脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2024-09-07 09:00:04.692122 |
| CVE-2024-4355 | Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection plugin for WordPress は、10.24 までのすべてのバージョンにおいて、stopbadbots_get_ajax_data() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、訪問者のデータを公開することが可能になります。 | 4.3 |
CVE 2024-09-07 09:00:04.691365 |
| CVE-2024-2657 | WordPress 用 Font Farsi プラグインは、1.6.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-09-07 09:00:04.690433 |
| CVE-2024-2089 | WordPress 用の Remote Content Shortcode プラグインは、1.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'remote_content' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-09-07 09:00:04.687667 |
| CVE-2024-5327 | PowerPack Addons for Elementor (Free Widgets, Extensions and Templates) plugin for WordPress は、2.7.19 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'pp_animated_gradient_bg_color' パラメータを経由した DOM-Based Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 6.4 |
CVE 2024-09-07 03:00:06.336761 |
| CVE-2024-5073 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、5.9.21 までのすべてのバージョンにおいて Twitter Feed コンポーネントを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 03:00:06.336128 |
| CVE-2024-5341 | The Plus Addons for Elementor Page Builder plugin for WordPress は、5.5.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、見出しタイトルウィジェットの 'size' 属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 03:00:06.335380 |
| CVE-2024-4356 | WordPress 用 List categories プラグインは、0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'categories' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 03:00:06.334159 |
| CVE-2024-4218 | WordPress 用 AffiEasy プラグインは、1.1.7 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、プラグインがタグ付けされたバージョンとパッチを適用したバージョンを不適切にリリースしていることが原因です。脆弱性のあるバージョンはコアファイルとして使用され、パッチを適用したバージョンは「trunk」フォルダに含まれています。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる、付与された偽造リクエストを介して様々なアクションを実行することが可能になります。 | 6.5 |
CVE 2024-09-07 03:00:06.333522 |
| CVE-2024-3947 | WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_settings() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、 偽装されたリクエストを使ってプラグインの設定を変更することが可能になります。 | 4.3 |
CVE 2024-09-07 03:00:06.332839 |
| CVE-2024-3946 | WordPress 用 WP To Do プラグインは、1.3.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-09-07 03:00:06.332204 |
| CVE-2024-3945 | WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_manage() 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、 偽装されたリクエストを使って新しい ToDo アイテムを追加することが可能になります。 | 4.3 |
CVE 2024-09-07 03:00:06.331593 |
| CVE-2024-3943 | WordPress 用 WP To Do プラグインには、1.3.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、wptodo_addcomment 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使って、to do アイテムにコメントを追加することが可能になります。 | 4.3 |
CVE 2024-09-07 03:00:06.330978 |
| CVE-2024-3277 | Yumpu ePaper publishing plugin for WordPress は、2.0.24 までのすべてのバージョンにおいて、ajax_handler 関数のケイパビリティチェックが欠落しているため、データを不正に変更される脆弱性があります。このため、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、PDF ファイルをアップロードして公開したり、API キーを変更したりすることが可能です。 | 5.0 |
CVE 2024-09-07 03:00:06.330359 |
| CVE-2024-5223 | Post Grid Gutenberg Blocks and WordPress Blog Plugin - PostX plugin for WordPress には、4.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、プラグインのファイルアップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-09-07 03:00:06.329621 |
| CVE-2024-3269 | WordPress 用 Download Monitor プラグインは、4.9.13 までのすべてのバージョンにおいて、dlm_uninstall_plugin 関数の機能チェックが欠落しているため、機能への不正アクセスの脆弱性があります。これにより、認証された攻撃者がプラグインをアンインストールし、そのデータを削除することが可能になります。 | 5.4 |
CVE 2024-09-07 03:00:06.328937 |
| CVE-2024-3190 | WordPress 用 Unlimited Elements For Elementor (Free Widgets, Addons, Templates) プラグインは、1.5.107 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのテキストフィールドウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この脆弱性は、外部テンプレートに起因するという点で異なることに注意してください。このため、古いバージョンにもパッチが適用される可能性があるようですが、既知のパッチを含む最新バージョンである1.5.108をパッチを適用したバージョンとして選択します。 | 5.4 |
CVE 2024-09-07 03:00:06.328136 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.