WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-9859 | WordPress 用 Fintelligence Calculator プラグインは、1.0.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'fintelligence-calculator' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.527675 |
| CVE-2025-9858 | WordPress 用プラグイン Auto Bulb Finder for WordPress には、2.8.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'abf_vehicle' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.527079 |
| CVE-2025-9854 | WordPress 用 A Simple Multilanguage Plugin プラグインは、1.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'asmp-switcher' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.526050 |
| CVE-2025-9630 | WordPress 用 WP SinoType プラグインは、1.0 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは sinotype_config 関数の nonce 検証の欠落または不正確さによるものです。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストによってタイポグラフィの設定を変更することが可能になります。 | 4.3 |
CVE 2025-12-23 03:00:05.525345 |
| CVE-2025-9372 | WordPress 用の Ultimate Multi Design Video Carousel プラグインは、1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、エディタレベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-12-23 03:00:05.523308 |
| CVE-2025-9333 | WordPress 用 Smart Docs プラグインは、1.1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-12-23 03:00:05.522675 |
| CVE-2025-9332 | WordPress 用の Interactive Human Anatomy with Clickable Body Parts プラグインは、2.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 5.5 |
CVE 2025-12-23 03:00:05.521949 |
| CVE-2025-9286 | WordPress 用 Appy Pie Connect for WooCommerce プラグインは、1.1.2 までのすべてのバージョンにおいて、reset_user_password() REST ハンドラ内の認可が欠落しているため、特権昇格の脆弱性があります。これにより、認証されていない攻撃者が、管理者を含む任意のユーザのパスワードをリセットし、管理者権限を得ることが可能になります。 | 9.8 |
CVE 2025-12-23 03:00:05.521035 |
| CVE-2025-9213 | WordPress 用 TextBuilder プラグインは、バージョン 1.0.0 から 1.1.1 において Cross-Site Request Forgery の脆弱性があります。これは、'handleToken' 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。このため、認証されていない攻撃者は、サイト管理者を騙ってリンクをクリックするなどのアクションを実行させ、偽造リクエストによってユーザーの認証トークンを更新することが可能です。トークンが更新されると、攻撃者はユーザのパスワードとメールアドレスを更新することができる。 | 8.8 |
CVE 2025-12-23 03:00:05.520034 |
| CVE-2025-9212 | WordPress 用 WP Dispatcher プラグインは、1.2.0 までのすべてのバージョンにおいて、 wp_dispatcher_process_upload() 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。このディレクトリには .htaccess ファイルがあり、リモートでのコード実行を制限しています。 | 7.5 |
CVE 2025-12-23 03:00:05.519393 |
| CVE-2025-9209 | WordPress 用のプラグイン RestroPress - Online Food Ordering System は、バージョン 3.0.0 から 3.1.9.2 において、認証バイパスの脆弱性がある。これは、プラグインが /wp-json/wp/v2/users REST API エンドポイントを経由してユーザのプライベートトークンと API データを公開しているためです。これにより、認証されていない攻撃者が、管理者を含む他のユーザの JWT トークンを偽造し、そのユーザとして認証することが可能になります。 | 9.8 |
CVE 2025-12-23 03:00:05.518411 |
| CVE-2025-9206 | WordPress 用 Meks Easy Maps プラグインには、2.1.4 までのすべてのバージョンにおいて、投稿タイトルフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが悪意のある投稿を含むマップにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-12-23 03:00:05.517054 |
| CVE-2025-9204 | WordPress 用 X Addons for Elementor プラグインには、1.0.14 までのすべてのバージョンにおいて、Youtube Video ID フィールドを介した Stored Cross-Site Scripting の脆弱性があります。これは、Youtube Video ID パラメータの入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザーが影響を受けるページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-12-23 03:00:05.515776 |
| CVE-2025-9200 | Blappsta Mobile App Plugin - Your native, mobile iPhone App and Android App plugin for WordPress は、0.8.8.8 までのすべてのバージョンにおいて、nh_ynaa_comments() 関数を経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、既に存在するクエリに追加することが可能になってしまいます。 | 7.5 |
CVE 2025-12-23 03:00:05.514472 |
| CVE-2025-9199 | WordPress用のWoo superb slideshow transition gallery with random effectプラグインは、9.1までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存のSQLクエリに十分な準備がないため、'woo-superb-slideshow'ショートコードを経由したSQLインジェクションの脆弱性があります。 これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者が、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-12-23 03:00:05.513622 |
| CVE-2025-9198 | WordPress 用の Wp cycle text announcement プラグインは、8.1 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないため、'cycle-text' ショートコードを経由した SQL インジェクションの脆弱性があります。 このため、コントリビューターレベル以上のアクセス権を持つ、認証された攻撃者が、データベースから機密情報を抽出するために使用できる、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2025-12-23 03:00:05.512747 |
| CVE-2025-9194 | WordPress 用 Constructor テーマは、1.6.5 までのすべてのバージョンにおいて、clean() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ、認証された攻撃者がテーマのクリーンをトリガーすることが可能です。 | 4.3 |
CVE 2025-12-23 03:00:05.511823 |
| CVE-2025-9130 | WordPress 用 Unify プラグインは、3.4.7 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、WordPress 用プラグインの unify_checkout ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.510896 |
| CVE-2025-9129 | WordPress 用 Flexi プラグインは、4.28 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、WordPress 用プラグインの flexi-form-tag ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.509718 |
| CVE-2025-9080 | WordPress 用 Generic Elements プラグインは、バージョン 1.2.4 以前において、複数のウィジェット・フィールドを経由した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが提供する属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.508282 |
| CVE-2025-9077 | WordPress用Ultra Addons Lite for Elementorプラグインは、バージョン1.1.9以下において、入力のサニタイズと出力のエスケープが不十分なため、Typeoutウィジェットの'Animated Text'フィールドを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.507463 |
| CVE-2025-9045 | WordPress 用 Easy Elementor Addons プラグインは、2.2.8 以下のバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかのウィジェットパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.506705 |
| CVE-2025-8776 | WordPress 用 Epic Bootstrap Buttons プラグインは、入力のサニタイズと出力のエスケープが不十分なため、1.0 までのすべてのバージョンにおいて、'icol' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-23 03:00:05.505736 |
| CVE-2025-8669 | WordPress 用 Customify テーマは、バージョン 0.4.11 において Cross-Site Request Forgery の脆弱性があります。これは、reset_customize_section 関数の nonce 検証の欠落または不正確さに起因します。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、テーマのカスタマイズ設定をリセットすることが可能になります。 | 4.3 |
CVE 2025-12-23 03:00:05.504422 |
| CVE-2025-7825 | Schema Plugin For Divi, Gutenberg & Shortcodes plugin for WordPress は、4.3.2 までのすべてのバージョンにおいて、 wpt_schema_breadcrumbs ショートコードによる信頼できない入力のデシリアライズを経由した Object Instantiation の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトを注入することが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響を与えません。つまり、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響しません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者は存在する POP チェーンに応じて、任意のファイルを削除したり、機密データを取得したり、コードを実行したりといったアクションを実行できる可能性があります。 | 6.3 |
CVE 2025-12-23 03:00:05.502847 |
| CVE-2025-7721 | JoomSport - for Sports:JoomSport - for Sports: Team & League, Football, Hockey & more plugin for WordPress は、5.7.3 までのすべてのバージョンにおいて、 task パラメータを経由したローカルファイル取り込みの脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意の .php ファイルをインクルードして実行することが可能になり、そのファイル内の任意の PHP コードの実行が可能になります。これは、.php ファイルがアップロードされたりインクルードされたりする場合に、 アクセス制御を回避したり、機密データを取得したり、コードを実行したりするために使用されます。 | 9.8 |
CVE 2025-12-23 03:00:05.502060 |
| CVE-2025-10726 | WordPress 用 WPRecovery プラグインは、2.0 までのすべてのバージョンにおいて、'data[id]' パラメータを介した SQL インジェクションの脆弱性があります。これは、ユーザが提供したパラメータのエスケープが不十分であることと、既存の SQL クエリの準備が不十分であることが原因です。これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。さらに、この SQL インジェクションの結果は PHP の unlink() 関数に直接渡されるため、 攻撃者は SQL クエリを通してファイルパスを注入することで、 サーバー上の任意のファイルを削除することが可能となります。 | 9.1 |
CVE 2025-12-23 03:00:05.500609 |
| CVE-2025-10582 | WordPress 用 WP Dispatcher プラグインは、1.2.0 までのすべてのバージョンにおいて、'id' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能になります。 | 8.8 |
CVE 2025-12-23 03:00:05.499649 |
| CVE-2025-10311 | WordPress 用 Comment Info Detector プラグインは、1.0.5 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、options.php ファイルでフォーム送信を処理する際の nonce バリデーションが欠落しているためです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる、偽造されたリクエストを介してプラグインの設定を変更することが可能になります。 | 4.3 |
CVE 2025-12-23 03:00:05.498655 |
| CVE-2025-10309 | WordPress 用 PayPal Forms プラグインには、1.0.3 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これはフォームの作成と管理機能でnonceバリデーションが欠落しているためです。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる偽造リクエストを介して、新しいPayPalフォームを作成し、PayPalの支払い設定を変更することが可能になります。 | 4.3 |
CVE 2025-12-23 03:00:05.497996 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.