見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
---|---|---|---|
ID | 説明 | CVSS v3 ベーススコア | 情報元 |
CVE-2023-6219 | WordPress 用 BookingPress プラグインは、1.0.76 までのバージョンにおいて、'bookingpress_process_upload' 関数のファイル検証が不十分なため、任意のファイルをアップロードされる脆弱性があります。これにより、管理者レベル以上の権限を持つ攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2024-03-17 03:00:08.226845 |
CVE-2023-4971 | Weaver Xtreme Theme Support WordPressプラグイン6.3.1より前のバージョンでは、インポートされたファイルの内容がシリアライズされないため、高い権限を持つユーザーが悪意のあるファイルをインポートし、適切なガジェットチェーンがブログ上に存在する場合、PHPオブジェクトインジェクションの問題につながる可能性があります。 | 7.2 |
CVE 2024-03-16 23:00:10.759788 |
CVE-2023-46823 | Avirtum ImageLinks Interactive Image Builder for WordPress には、SQL コマンドで使用される特殊要素の不適切な中和(「SQL インジェクション」)の脆弱性があり、SQL インジェクションが可能です。この問題は、ImageLinks Interactive Image Builder for WordPress の n/a から 1.5.4 に影響します。 | 7.2 |
CVE 2024-03-16 09:00:04.192682 |
CVE-2023-47548 | この問題は、Integrate Google Drive - Browse, Upload, Download, Embed, Play, Share, Gallery, and Manage Your Google Drive Files Into Your WordPress Site: n/a から 1.3.2 に影響します。 | 6.1 |
CVE 2024-03-16 09:00:04.060288 |
CVE-2023-48325 | PluginOps Landing Page Builder - Lead Page - Optin Page - Squeeze Page - WordPress Landing Pagesにおける信頼できないサイトへのURLリダイレクト('Open Redirect')の脆弱性この問題は、Landing Page Builder - Lead Page - Optin Page - Squeeze Page - WordPress Landing Pages:n/aから1.5.1.5までに影響します。 | 6.1 |
CVE 2024-03-16 09:00:04.059594 |
CVE-2023-35909 | この問題は Ninja Forms Contact Form - The Drag and Drop Form Builder for WordPress: n/a から 3.6.25 までのバージョンに影響します。 | 5.3 |
CVE 2024-03-16 09:00:04.058851 |
CVE-2023-35039 | Be Devious Web Development Password Reset with Code for WordPress REST APIの脆弱性「過剰な認証試行の不適切な制限」は、認証の乱用を可能にします。この問題は、Password Reset with Code for WordPress REST API: n/a から 0.0.15 に影響します。 | 9.8 |
CVE 2024-03-16 09:00:04.058065 |
CVE-2023-41804 | Brainstorm Force Starter Templates - Elementor, WordPress & Beaver Builder Templates にサーバサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。この問題は、Starter Templates - Elementor, WordPress & Beaver Builder Templates: n/a から 3.2.4 までが対象です。 | 5.4 |
CVE 2024-03-16 09:00:04.055524 |
CVE-2023-32121 | Highfivery LLC Zero Spam for WordPress における SQL コマンドで使用される特殊要素の不適切な中和(「SQL インジェクション」)の脆弱性により、SQL インジェクションが可能です。この問題は、Zero Spam for WordPress の n/a から 5.4.4 に影響します。 | 7.2 |
CVE 2024-03-15 23:00:04.287980 |
CVE-2023-5761 | WordPress 用プラグイン Burst Statistics - Privacy-Friendly Analytics for WordPress は、バージョン 1.4.0 から 1.4.6.1 (無料) および 1.4.0 から 1.5.0 (プロ) において、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が十分でないため、'url' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2024-03-15 23:00:04.177906 |
CVE-2023-5714 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_db_specs() 関数の機能チェックが欠けているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ、認証された攻撃者がデータ・キー・スペックを取得することが可能になります。 | 4.3 |
CVE 2024-03-15 23:00:04.177291 |
CVE-2023-5713 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、 AJAX アクション経由でフックされる sd_option_value() 関数の機能チェックが欠落しているため、 データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、潜在的にセンシティブなオプション値を取得し、それらの値の内容をデシリアライズすることが可能になります。 | 4.3 |
CVE 2024-03-15 23:00:04.176687 |
CVE-2023-5712 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_global_value() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、機密性の高いグローバル値情報を取得することが可能になります。 | 4.3 |
CVE 2024-03-15 23:00:04.176043 |
CVE-2023-5711 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、 AJAX アクション経由でフックされる sd_php_info() 関数の機能チェックが欠落しているため、 データへの不正アクセスの脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、 PHP info によって提供された機密情報を取得することが可能となります。 | 4.3 |
CVE 2024-03-15 23:00:04.175319 |
CVE-2023-5710 | WordPress 用 System Dashboard プラグインは、2.8.7 までのすべてのバージョンにおいて、AJAX アクション経由でフックされる sd_constants() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、データベースの認証情報などの機密情報を取得することが可能になります。 | 4.3 |
CVE 2024-03-15 23:00:04.172516 |
CVE-2023-6527 | WordPress 用 Email Subscription Popup プラグインは、1.2.18 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、HTTP_REFERER ヘッダを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2024-03-15 03:00:04.856411 |
CVE-2023-5108 | Easy Newsletter Signups WordPress プラグイン 1.0.4 では、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープを行っていないため、admin などの高権限ユーザーが悪用可能な SQL インジェクションが発生します。 | 7.2 |
CVE 2024-03-13 09:00:08.542465 |
CVE-2023-6063 | 1.2.2 より前の WP Fastest Cache WordPress プラグインでは、SQL 文でパラメータを使用する前に適切にサニタイズおよびエスケープが行われないため、認証されていないユーザーによって悪用される SQL インジェクションが発生します。 | 7.5 |
CVE 2024-03-13 09:00:08.433636 |
CVE-2023-5953 | 2.9.5より前のWelcart e-Commerce WordPressプラグインは、アップロードされるファイルの検証を行わず、またそのようなアップロードを処理するAJAXアクションに認証とCSRFを備えていません。その結果、購読者のような認証されたユーザーは、サーバー上の PHP のような任意のファイルをアップロードすることができます。 | 8.8 |
CVE 2024-03-13 09:00:08.431906 |
CVE-2023-5952 | 2.9.5以前のWelcart e-Commerce WordPressプラグインは、クッキーからのユーザー入力をシリアライズしないため、適切なガジェットがブログに存在する場合、不正なユーザーがPHPオブジェクト・インジェクションを実行できる可能性がある。 | 9.8 |
CVE 2024-03-13 09:00:08.431360 |
CVE-2023-5951 | 2.9.5以前のWelcart e-Commerce WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイト・スクリプティングが発生します。 | 6.1 |
CVE 2024-03-13 09:00:08.430725 |
CVE-2023-5874 | 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.429092 |
CVE-2023-5809 | 3.8.6以前のPopup box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.428500 |
CVE-2023-5762 | 1.2.3.6 より前の Filr WordPress プラグインには、RCE (Remote Code Execution) の脆弱性があり、Author レベルの権限を持つユーザに代わってオペレーティングシステムがコマンドを実行し、サーバを完全に侵害する可能性があります。 | 8.8 |
CVE 2024-03-13 09:00:08.427899 |
CVE-2023-5210 | 3.0までのAMP+ Plus WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2024-03-13 09:00:08.427290 |
CVE-2023-5141 | BSK Contact Form 7 Blacklist WordPress プラグイン 1.0.1 では、inserted_count パラメータをページに出力する前にサニタイズとエスケープを行っていません。 | 6.1 |
CVE 2024-03-13 09:00:08.426451 |
CVE-2023-5137 | 1.4までのSimply Excerpts WordPressプラグインは、プラグイン設定の一部のフィールドをサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者などの高権限ユーザーが任意のウェブスクリプトを注入できる可能性があります。 | 4.8 |
CVE 2024-03-13 09:00:08.425861 |
CVE-2023-4460 | Uploading SVG, WEBP and ICO files WordPress plugin through 1.2.1 は、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザーが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 | 5.4 |
CVE 2024-03-13 09:00:08.421928 |
CVE-2023-6360 | WordPress プラグイン 'My Calendar' のバージョン < 3.4.22 には、レストルート '/my-calendar/v1/events' の 'from' および 'to' パラメータに存在する、認証されていない SQL インジェクションの脆弱性があります。 | 9.8 |
CVE 2024-03-09 09:00:04.024448 |
CVE-2023-5803 | Business Directory Team Business Directory Plugin - Easy Listing Directories for WordPress にクロスサイトリクエストフォージェリ (CSRF) の脆弱性が存在します。この問題は、Business Directory Plugin - Easy Listing Directories for WordPress: n/a から 6.3.10 に影響します。 | 8.8 |
CVE 2024-03-09 09:00:04.023730 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.