WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-5809 | 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.428500 |
| CVE-2023-5762 | 1.2.3.6 より前の Filr WordPress プラグインには、RCE (Remote Code Execution) の脆弱性があり、Author レベルの権限を持つユーザに代わってオペレーティングシステムがコマンドを実行し、サーバを完全に侵害する可能性があります。 | 8.8 |
CVE 2024-03-13 09:00:08.427899 |
| CVE-2023-5210 | 3.0までのAMP+ Plus WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2024-03-13 09:00:08.427290 |
| CVE-2023-5141 | BSK Contact Form 7 Blacklist WordPress プラグイン 1.0.1 では、inserted_count パラメータをページに出力する前にサニタイズとエスケープを行っていません。 | 6.1 |
CVE 2024-03-13 09:00:08.426451 |
| CVE-2023-5137 | 1.4までのSimply Excerpts WordPressプラグインは、プラグイン設定の一部のフィールドをサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者などの高権限ユーザーが任意のウェブスクリプトを注入できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.425861 |
| CVE-2023-4460 | Uploading SVG, WEBP and ICO files WordPress plugin through 1.2.1 は、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザーが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 | 5.4 |
CVE 2024-03-13 09:00:08.421928 |
| CVE-2023-6360 | WordPress プラグイン 'My Calendar' のバージョン < 3.4.22 には、レストルート '/my-calendar/v1/events' の 'from' および 'to' パラメータに存在する、認証されていない SQL インジェクションの脆弱性があります。 | 9.8 |
CVE 2024-03-09 09:00:04.024448 |
| CVE-2023-5803 | Business Directory Team Business Directory Plugin - Easy Listing Directories for WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性が存在します。この問題は、Business Directory Plugin - Easy Listing Directories for WordPress: n/a から 6.3.10 に影響します。 | 8.8 |
CVE 2024-03-09 09:00:04.023730 |
| CVE-2023-48754 | Wap Nepal Delete Post Revisions In WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性があり、クロスサイトリクエストフォージェリが可能です。この問題は、Delete Post Revisions In WordPress: n/a から 4.6 に影響します。 | 8.8 |
CVE 2024-03-09 09:00:04.022891 |
| CVE-2023-48328 | Imagely WordPress Gallery Plugin - NextGEN Gallery にクロスサイトリクエストフォージェリ(CSRF)の脆弱性 この問題は、WordPress Gallery Plugin - NextGEN Gallery: n/a から 3.37 に影響します。 | 8.8 |
CVE 2024-03-09 09:00:04.022087 |
| CVE-2023-37890 | WPOmnia KB Support - WordPress Help Desk and Knowledge Base の Missing Authorization 脆弱性により、ACL によって適切に制限されていない機能へのアクセスが可能になります。この問題は、KB Support - WordPress Help Desk and Knowledge Base: n/a から 1.5.88 に影響します。 | 4.3 |
CVE 2024-03-09 09:00:04.020356 |
| CVE-2023-37867 | この問題は、YetAnotherStarsRating.Com YASR - Yet Another Star Rating Plugin for WordPress における Time-of-check Time-of-use (TOCTOU) Race Condition の脆弱性に影響します。この問題は、YetAnotherStarsRating.Com YASR - Yet Another Star Rating Plugin for WordPress: n/a から 3.3.8 に影響します。 | 8.1 |
CVE 2024-03-09 09:00:04.019512 |
| CVE-2023-48323 | Awesome Support Team Awesome Support - WordPress HelpDesk & Support Plugin にクロスサイトリクエストフォージェリ (CSRF) の脆弱性 この問題は、Awesome Support - WordPress HelpDesk & Support Plugin: n/a から 6.1.4 に影響します。 | 8.8 |
CVE 2024-03-09 09:00:04.018750 |
| CVE-2023-48322 | eDoc Intelligence eDoc Employee Job Application - Best WordPress Job Manager for Employees に Web ページ生成時の入力の不適切な中和 ('Cross-site Scripting') 脆弱性があり、Reflected XSS が可能です。この問題は n/a から 1.13 までの eDoc Employee Job Application - Best WordPress Job Manager for Employees に影響します。 | 6.1 |
CVE 2024-03-09 09:00:04.014723 |
| CVE-2023-5772 | WordPress 用 Debug Log Manager プラグインには、2.2.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは clear_log() 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストによって、デバッグログをクリアすることが可能です。 | 4.3 |
CVE 2024-03-09 03:00:04.900756 |
| CVE-2023-6226 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、5.13.3 までのすべてのバージョンにおいて、ユーザが制御するキー 'key' と 'post_id' のバリデーションが欠落しているため、su_meta ショートコード経由で安全でない直接オブジェクト参照の脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、他のプラグインと組み合わせることで、機密情報を含む可能性のある任意の投稿メタ値を取得することが可能です。 | 4.3 |
CVE 2024-03-07 03:00:04.704350 |
| CVE-2023-6225 | WP Shortcodes Plugin - Shortcodes Ultimate plugin for WordPress は、5.13.3 までのすべてのバージョンにおいて、ユーザが入力したメタ値の入力サニタイズと出力エスケープが不十分なため、プラグインの su_meta ショートコードと投稿メタデータを組み合わせた Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-03-07 03:00:04.703425 |
| CVE-2023-5974 | 2.2 までの WPB Show Core WordPress プラグインには、`path` パラメータを経由したサーバサイドリクエストフォージェリ (SSRF) の脆弱性があります。 | 9.8 |
CVE 2024-03-06 09:00:09.926748 |
| CVE-2023-5942 | 1.4.1以前のMedialist WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.4 |
CVE 2024-03-06 09:00:09.925726 |
| CVE-2023-5906 | 1.4.4以前のJob Manager & Career WordPressプラグインには、Directory Listingsシステムに脆弱性があり、権限のないユーザーが他のユーザーのプライベートファイルを閲覧したりダウンロードしたりすることが可能です。この脆弱性は、攻撃者が許可なく他のユーザーの機密データやファイルにアクセスすることを可能にするため、深刻なセキュリティ上の脅威となります。 | 7.5 |
CVE 2024-03-06 09:00:09.925137 |
| CVE-2023-5845 | 5.1.1より前のSimple Social Media Share Buttons WordPressプラグインは、パスワードで保護された投稿内容を、認証されていない訪問者に一部のメタタグで漏えいさせる。 | 5.3 |
CVE 2024-03-06 09:00:09.924603 |
| CVE-2023-5738 | 1.4.4以前のWordPress Backup & Migrationプラグインは、一部のパラメータをサニタイズおよびエスケープしていないため、Subscriber以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2024-03-06 09:00:09.924051 |
| CVE-2023-5737 | 1.4.4以前のWordPress Backup & Migration WordPressプラグインでは、一部のAJAXリクエストが許可されていないため、Subscriber以下のロールのユーザーがプラグインの設定を更新することができます。 | 4.3 |
CVE 2024-03-06 09:00:09.923458 |
| CVE-2023-5620 | 4.35.0より前のWeb Push Notifications WordPressプラグインは、サイト訪問者がプラグインオプションの一部を変更することを防ぎません。 | 5.4 |
CVE 2024-03-06 09:00:09.921452 |
| CVE-2023-5611 | 2.20.32より前のSeraphinite Accelerator WordPressプラグインでは、設定のリセットやインポート時に認証とCSRFチェックが行われないため、認証されていないユーザーが設定をリセットできてしまう。 | 5.3 |
CVE 2024-03-06 09:00:09.920689 |
| CVE-2023-5604 | 2.7.1以前のAsgaros Forum WordPressプラグインでは、WordPressの(スーパー)管理者ではない可能性のあるフォーラム管理者が、認証されていないユーザーに危険なファイル(.phpや.phtmlなど)をアップロードさせる安全でない設定を行うことができ、リモートでコードが実行される可能性があります。 | 9.8 |
CVE 2024-03-06 09:00:09.919904 |
| CVE-2023-5559 | 2.24.18 以前の 10Web Booster WordPress プラグインは、一部の AJAX アクションで指定されたオプション名を検証しないため、認証されていないユーザーがデータベースから任意のオプションを削除でき、サービス拒否につながります。 | 9.1 |
CVE 2024-03-06 09:00:09.918477 |
| CVE-2023-5525 | 2.25.26以前のLimit Login Attempts Reloaded WordPressプラグインは、`toggle_auto_update` AJAXアクションの認証が欠落しており、有効なnonceを持つユーザーであれば誰でもプラグインの自動更新ステータスを切り替えることができる。 | 4.3 |
CVE 2024-03-06 09:00:09.917896 |
| CVE-2023-5239 | 2.121以前のCleanTalk WordPressプラグインによるセキュリティとマルウェアスキャンは、潜在的に信頼されていないヘッダーからクライアントのIPアドレスを取得し、攻撃者がその値を操作できるようにします。これは、ブルートフォースプロテクションをバイパスするために使用される可能性があります。 | 7.5 |
CVE 2024-03-06 09:00:09.916677 |
| CVE-2023-5209 | WordPress Online Booking and Scheduling Pluginの22.5以前のプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2024-03-06 09:00:09.916093 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.