WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-8047 | disable-right-click-powered-by-pixterme through v1.2およびpixter-image-digital-license thtough v1.0 WordPressプラグインは、明らかに放棄されたS3バケットから侵害されたJavaScriptファイルを読み込みます。これは、それを制御する人々によってバックドアとして使用することができますが、現在、セキュリティサービスのマーケティング警告を表示します。お金を払うユーザーは、ポップアップを抑制するためにallowedDomainsに追加されます。 | 9.8 |
CVE 2025-11-22 09:00:07.521640 |
| CVE-2025-5998 | PPWP - Password Protect Pages WordPressプラグインバージョン1.9.11以前では、サイトのコンテンツをパスワード認証の後ろに置くことができますが、購読者以上のロールを持つユーザーは、REST APIを介してコンテンツを表示することができます。 | 6.5 |
CVE 2025-11-22 09:00:07.507060 |
| CVE-2025-8046 | 1.2.8 以前の Injection Guard WordPress プラグインでは、$_SERVER['REQUEST_URI'] パラメータをエスケープしてから属性に出力しないため、古いウェブブラウザで反射型クロスサイトスクリプティングにつながる可能性があります。 | 6.1 |
CVE 2025-11-22 03:00:16.934465 |
| CVE-2025-7808 | 1.5.4以前のWP Shopify WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-11-22 03:00:16.933594 |
| CVE-2025-6790 | 10.2.3より前のQuiz and Survey Master (QSM) WordPressプラグインでは、設定を更新する際にCSRFチェックが行われていないため、攻撃者がCSRF攻撃によってログインした管理者に設定を変更させる可能性があります。 | 4.3 |
CVE 2025-11-22 03:00:16.932947 |
| CVE-2025-3414 | 構造化コンテンツ (JSON-LD) #wpsc WordPress プラグイン 1.7.0 より前のバージョンでは、ブロックが埋め込まれているページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしていないため、投稿者ロール以上のユーザが Stored Cross-Site Scripting 攻撃を行える可能性があります。 | 5.4 |
CVE 2025-11-22 03:00:16.930234 |
| CVE-2025-6184 | Tutor LMS Pro - eLearning and online course solution plugin for WordPress には、3.7.0 までのすべてのバージョンにおいて、get_submitted_assignments() 関数で使用される 'order' パラメータを経由した時間ベースの SQL インジェクションの脆弱性があります。 これにより、Tutorレベル以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。Proバージョンのみが影響を受けます。 | 8.8 |
CVE 2025-11-21 03:00:16.811496 |
| CVE-2025-6715 | 5.1.94 以前の LatePoint WordPress プラグインには、layout パラメータを経由したローカルファイル インクルード (Local File Inclusion) の脆弱性があります。これにより、攻撃者はサーバ上の PHP ファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行を許してしまいます。 | 9.8 |
CVE 2025-11-21 03:00:16.810772 |
| CVE-2025-7384 | WordPress の Contact Form 7, WPforms, Elementor フォームプラグインのデータベースには、1.4.3 までのすべてのバージョンにおいて、get_lead_detail 関数内で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、認証されていない攻撃者が PHP オブジェクトをインジェクションすることが可能となります。また、Contact Form 7 プラグインには POP チェーンが存在し、このプラグインと一緒に使われる可能性が高いため、攻撃者は任意のファイルを削除することができ、wp-config.php ファイルが削除されるとサービス拒否やリモートコード実行につながります。 | 9.8 |
CVE 2025-11-21 03:00:16.809770 |
| CVE-2025-8891 | WordPress用のOceanWPテーマには、バージョン4.0.9から4.1.1においてクロスサイトリクエストフォージェリの脆弱性があります。これは、oceanwp_notice_button_click()関数におけるnonceバリデーションの欠落または不正確さによるものです。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙すことができる偽造リクエストを使用して、Ocean Extraプラグインをインストールすることが可能です。 | 4.3 |
CVE 2025-11-21 03:00:16.809114 |
| CVE-2025-8491 | WordPress 用 Easy restaurant menu manager プラグインには、2.0.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは nsc_eprm_save_menu() 関数の nonce バリデーションが欠落しているか、正しくないことに起因します。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる、偽造されたリクエストを介してメニューファイルをアップロードすることが可能です。 | 4.3 |
CVE 2025-11-21 03:00:16.807917 |
| CVE-2025-0818 | elFinderのバージョン2.1.64以前を使用しているいくつかのWordPressプラグインには、様々なバージョンにおいてディレクトリトラバーサルの脆弱性があります。これにより、認証されていない攻撃者が任意のファイルを削除することが可能となります。この脆弱性を悪用するには、サイトの所有者が明示的にファイルマネージャーのインスタンスをユーザーが利用できるようにする必要があります。 | 6.5 |
CVE 2025-11-21 03:00:16.805125 |
| CVE-2025-1561 | AppPresser - Mobile App Framework plugin for WordPress は、4.4.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'title' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、ロギングが有効になっている場合、認証されていない攻撃者がページ内に任意のウェブスクリプトを注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-11-20 03:00:08.309283 |
| CVE-2025-8874 | Master Addons - Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations plugin for WordPress は、2.0.8.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、いくつかのウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.103112 |
| CVE-2025-8767 | WordPress 用 AnWP Football Leagues プラグインは、0.16.17 までのすべてのバージョンにおいて、'download_csv_players' および 'download_csv_games' 関数経由で CSV インジェクションの脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、エクスポートされた CSV ファイルに信頼できない入力を埋め込むことが可能となり、これらのファイルがダウンロードされ、脆弱な設定を持つローカルシステムで開かれた場合に、コードが実行される可能性があります。 | 4.8 |
CVE 2025-11-20 03:00:08.102201 |
| CVE-2025-8482 | WordPress 用 Simple Local Avatars プラグインは、バージョン 2.8.4 においてデータを不正に変更される脆弱性があります。これは migrate_from_wp_user_avatar() 関数の機能チェックが欠落しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、全ユーザのアバターメタデータを移行することが可能になります。 | 4.3 |
CVE 2025-11-20 03:00:08.101288 |
| CVE-2025-8418 | B Slider- Gutenberg Slider Block for WP plugin for WordPress は、1.1.30 までのすべてのバージョンにおいて、任意のプラグインインストールの脆弱性があります。これは、activated_plugin 関数の機能チェックが欠落しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のプラグインをサーバにインストールすることが可能となり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2025-11-20 03:00:08.100711 |
| CVE-2025-8081 | WordPress 用 Elementor プラグインは、3.30.2 までのすべてのバージョンにおいて、指定されたファイル名に対する制御が不十分なため、Import_Images::import() 関数経由で任意のファイルを読み取られる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 4.9 |
CVE 2025-11-20 03:00:08.100055 |
| CVE-2025-6253 | UiCore Elements - Free Elementor widgets and templates plugin for WordPress は、1.3.0 までのすべてのバージョンにおいて、prepare_template() 関数経由での任意のファイル読み込みの脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報を含む可能性があります。 | 7.5 |
CVE 2025-11-20 03:00:08.098916 |
| CVE-2025-8314 | WordPress 用の Software Issue Manager プラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.0.1 までのすべてのバージョンにおいて、「noaccess_msg」パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.097820 |
| CVE-2025-8059 | WordPress 用の B Blocks プラグインには、2.0.6 までのすべてのバージョンにおいて、rgfr_registration() 関数内での認証漏れと不適切な入力検証による特権昇格の脆弱性があります。これにより、認証されていない攻撃者が新しいアカウントを作成し、管理者ロールを割り当てることが可能になります。 | 9.8 |
CVE 2025-11-20 03:00:08.096954 |
| CVE-2025-8690 | WordPress 用 Simple Responsive Slider プラグインは、2.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-11-20 03:00:08.095787 |
| CVE-2025-8688 | WordPress 用の Inline Stock Quotes プラグインは、0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの stock ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.094835 |
| CVE-2025-8685 | WordPress 用の Wp chart generator プラグインは、1.0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wpchart ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.093816 |
| CVE-2025-8621 | WordPress 用 Mosaic Generator プラグインは、1.0.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'c' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.093230 |
| CVE-2025-8568 | WordPress 用の GMap Generator プラグインは、1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'h' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.092627 |
| CVE-2025-8462 | RT Easy Builder - Advanced addons for Elementor plugin for WordPress は、2.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、social URL パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.091855 |
| CVE-2025-5391 | WordPress 用 WooCommerce Purchase Orders プラグインは、1.0.2 までのすべてのバージョンにおいて delete_file() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がサーバー上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 8.1 |
CVE 2025-11-20 03:00:08.090779 |
| CVE-2025-4390 | WordPress 用 WP Private Content Plus プラグインは、3.6.2 までのすべてのバージョンにおいて、'validate_restrictions' 関数を経由した機密情報暴露の脆弱性があります。これにより、未認証の攻撃者がアーカイブやフィードページで制限された投稿の内容を含む機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-11-20 03:00:08.087074 |
| CVE-2024-13509 | WS Form LITE - Drag & Drop Contact Form Builder for WordPress プラグインは、1.10.13 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、url パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性は 1.10.13 で部分的に修正され、1.10.14 で完全に修正されました。 | 7.2 |
CVE 2025-11-19 23:00:20.344965 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.