WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-6159 | 1.9.4以前のPush Notification for Post and BuddyPress WordPressプラグインでは、認証されていないユーザーが利用可能なAJAXアクションを経由してSQLステートメントで使用する前に、パラメータを適切にサニタイズおよびエスケープしていないため、SQLインジェクションが発生します。 | 9.8 |
CVE 2025-08-23 09:00:08.563384 |
| CVE-2024-5440 | 1.8.0.3以前のIf-So Dynamic Content Personalization WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 | 5.4 |
CVE 2025-08-23 09:00:08.562042 |
| CVE-2024-5026 | 4.3.4以前のCM Tooltip Glossary WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性がある(マルチサイト設定など) | 4.8 |
CVE 2025-08-23 09:00:08.561446 |
| CVE-2024-4665 | 3.5.0以前のEventPrime WordPressプラグインでは、予約の更新時にパーミッションが適切に検証されないため、他のユーザーの予約を変更/キャンセルすることができます。さらに、この機能にはnonceが欠けています。 | 5.3 |
CVE 2025-08-23 09:00:08.560223 |
| CVE-2024-4091 | 2.3.15以前のResponsive Gallery Grid WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.558974 |
| CVE-2024-4004 | 2.5.7以前のAdvanced Cron Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.558269 |
| CVE-2024-4002 | 2.6.9以前のWP Carousel WordPressプラグインによるCarousel, Slider, Galleryは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-08-23 09:00:08.557575 |
| CVE-2024-3996 | 2.4.28以前のSmart Post Show WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-08-23 09:00:08.556643 |
| CVE-2024-3901 | 3.1.3までのGenesis Blocks WordPressプラグインは、一部のカスタムブロックに提供された属性を適切にエスケープしないため、投稿を許可されたユーザー(投稿者ロールを持つユーザーなど)がStored XSS攻撃を行う可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.555299 |
| CVE-2024-3062 | 3.2.2より前のPdfcrowd WordPressプラグインによる画像として保存プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、管理者のような高権限ユーザーが(マルチサイト設定などで)unfiltered_html機能が許可されていない場合でも、ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.554711 |
| CVE-2024-2869 | 3.5.4以前のEasy Property Listings WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.554090 |
| CVE-2024-2643 | 2.6.8以前のFloating Notification Bar, Sticky Menu on Scroll, Announcement Banner, Sticky Header for Any WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.553341 |
| CVE-2024-1663 | 1.3.6以前のUltimate Noindex Nofollow Tool II WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.552221 |
| CVE-2024-13865 | 4.2.1までのS3Player WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、未認証のユーザーに対してのみ使用可能なReflected Cross-Site Scriptingを引き起こします。 | 6.1 |
CVE 2025-08-23 09:00:08.551417 |
| CVE-2024-13828 | 1.0.14までのBadgearoo WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-08-23 09:00:08.550948 |
| CVE-2024-13823 | 360 Product Rotation WordPressプラグイン1.5.8では、パラメータをページ内に出力する前にサニタイズおよびエスケープを行っていないため、認証されていないユーザーに対してのみ使用可能なReflected Cross-Site Scriptingが発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.550329 |
| CVE-2024-13730 | 4.2.1より前のPodlove Podcast Publisher WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.549821 |
| CVE-2024-13729 | 4.1.24より前のPodlove Podcast Publisher WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアド・クロスサイト・スクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.549299 |
| CVE-2024-13727 | 2.1.14以前のMemberSpace WordPressプラグインは、パラメータをページ内に出力する前にサニタイズおよびエスケープを行わないため、未認証のユーザーに対してのみ使用可能なReflected Cross-Site Scriptingが発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.548764 |
| CVE-2024-13621 | 2.2.0以前のGDPR Framework By Data443 WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.547861 |
| CVE-2024-13619 | 8.0.1以前のLifterLMS WordPressプラグインは、パラメータをページに出力する前にサニタイズおよびエスケープを行わないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-08-23 09:00:08.546967 |
| CVE-2024-13616 | 1.7.2以前のVikBooking Hotel Booking Engine & PMS WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイトのセットアップなど)。 | 4.8 |
CVE 2025-08-23 09:00:08.546420 |
| CVE-2024-13486 | 3.1.32より前のIcegram Engage WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.545851 |
| CVE-2024-13482 | 3.1.32より前のIcegram Engage WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.544788 |
| CVE-2024-13384 | 3.2.24より前のRbs Image Gallery WordPressプラグインのフォトギャラリー、画像、スライダーは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.543708 |
| CVE-2024-13383 | 2.0.0以前のHD Quiz WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)Stored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.542875 |
| CVE-2024-13382 | 5.2.64より前のCalculated Fields Form WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)Stored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.541991 |
| CVE-2024-13357 | 3.1.52以前のDitty WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、作者のような高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.541472 |
| CVE-2024-13313 | 7.3.20までのAWeber WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーが、ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.540506 |
| CVE-2024-13128 | 4.2.7.5.1以前のLearnPress WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.539968 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.