WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-33931 | ilGhera JW Player for WordPress に認証漏れの脆弱性。この問題は、JW Player for WordPress の n/a から 2.3.3 に影響します。 | 6.5 |
CVE 2024-08-11 09:00:03.320991 |
| CVE-2024-33941 | Avirtum iPanorama 360 WordPressバーチャルツアービルダーに認証欠落の脆弱性。この問題はiPanorama 360 WordPressバーチャルツアービルダー:n/aから1.8.1に影響します。 | 5.3 |
CVE 2024-08-11 03:00:04.482178 |
| CVE-2024-4439 | WordPress Core は、6.5.2 までの様々なバージョンにおいて、表示名の出力エスケープが不十分なため、アバターブロックのユーザー表示名を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。さらに、コメント・ブロックが存在し、コメント作成者のアバターを表示するページにおいて、認証されていない攻撃者が任意のウェブ・スクリプトを注入することも可能になります。 | 7.2 |
CVE 2024-08-11 03:00:04.479937 |
| CVE-2024-3692 | 1.9.1以前のGutenverse WordPressプラグインは、ブロックの様々なhtmlTagオプションを、ブロックが埋め込まれているページ/投稿に出力する前に検証しないため、contributorロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 6.1 |
CVE 2024-08-11 03:00:04.476462 |
| CVE-2024-4334 | WordPress 用プラグイン Supreme Modules Lite - Divi Theme, Extra Theme and Divi Builder には、入力のサニタイズと出力のエスケープが不十分なため、2.5.3 までのバージョンにおいて、'typing_cursor' パラメータを介した DOM ベースのクロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.540737 |
| CVE-2024-4324 | WordPress 用 WP Video Lightbox プラグインは、1.9.10 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'width' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.540182 |
| CVE-2024-4265 | WordPress 用 Elementor プラグイン Master Addons - Free Widgets, Hover Effects, Toggle, Conditions, Animations には、入力のサニタイズと出力のエスケープが不十分なため、2.0.5.9 までのバージョンにおいて、'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.539325 |
| CVE-2024-4203 | WordPress 用 Elementor プラグイン Premium Addons Pro には、4.10.30 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、maps ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、プラグインのプレミアムバージョンを実行しているサイトにのみ影響することに注意してください。 | 5.4 |
CVE 2024-08-10 09:00:05.538590 |
| CVE-2024-4156 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.17 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'eael_event_text_color' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.537610 |
| CVE-2024-4133 | ARMember - WordPress 用のメンバーシップ・プラグイン、コンテンツ制限、メンバー・レベル、ユーザー・プロフィール、ユーザー登録プラグインは、4.0.30 までのすべてのバージョンにおいて Open Redirect の脆弱性があります。これは redirect_to パラメータで提供されるリダイレクト URL の検証が不十分なためです。これにより、認証されていない攻撃者がユーザーを騙してアクションを実行させることに成功した場合、潜在的に悪意のあるサイトにリダイレクトさせることが可能になります。 | 6.1 |
CVE 2024-08-10 09:00:05.537044 |
| CVE-2024-4097 | WordPress 用の Cost Calculator Builder プラグインは、3.1.67 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG アップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2024-08-10 09:00:05.536148 |
| CVE-2024-4092 | WordPress 用 Slider Revolution プラグインは、入力のサニタイズと出力のエスケープが不十分なため、6.7.7 までのすべてのバージョンにおいて、'htmltag' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。デフォルトでは、これは管理者のみが悪用可能ですが、Slider Revolutionの使用および設定機能を作者に拡張することができます。 | 6.4 |
CVE 2024-08-10 09:00:05.535598 |
| CVE-2024-4086 | WordPress 用プラグイン CM Tooltip Glossary - Powerful Glossary Plugin には、4.2.11 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、設定を保存する際の nonce 検証の欠落または不正確さが原因です。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、プラグインの設定を変更したり、リセットしたりすることが可能になります。 | 4.3 |
CVE 2024-08-10 09:00:05.535059 |
| CVE-2024-4085 | WordPress 用 Tabellen von faustball.com プラグインは、2.0.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2024-08-10 09:00:05.534157 |
| CVE-2024-4083 | WordPress 用 Easy Restaurant Table Booking プラグインは、1.0.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができ、付与された偽造リクエストによってプラグインの設定を変更することが可能です。 | 4.3 |
CVE 2024-08-10 09:00:05.533323 |
| CVE-2024-4036 | WordPress 用のプラグイン Sydney Toolbox には、1.30 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、style パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.532763 |
| CVE-2024-4034 | WordPress 用の Virtue テーマは、3.4.8 までのすべてのバージョンにおいて、ホームページ上で最新の投稿機能が有効になっている場合に入力のサニタイズと出力のエスケープが不十分なため、投稿者名を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.531833 |
| CVE-2024-4033 | WordPress 用 All-in-One Video Gallery プラグインは、3.6.4 までのすべてのバージョンにおいて、aiovg_create_attachment_from_external_image_url 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2024-08-10 09:00:05.531304 |
| CVE-2024-4003 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、5.9.15 までのすべてのバージョンにおいて、Team Members ウィジェットの eael_team_members_image_rounded パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.530424 |
| CVE-2024-4000 | WordPress Header Builder Plugin - Pearl plugin for WordPress は、1.3.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'stm_hb' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.529595 |
| CVE-2024-3991 | WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) は、2.8.7までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Horizontal Product Filterの_id属性を介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528749 |
| CVE-2024-3985 | Exclusive Addons for Elementor plugin for WordPress は、2.6.9.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Call to Action ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528220 |
| CVE-2024-3942 | MasterStudy LMS WordPress Plugin - for Online Courses and Education plugin for WordPress には、3.3.8 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、不正アクセス、改ざん、およびデータの損失が発生する脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、コースの質問、投稿タイトル、タクソノミーなどのコンテンツを読み取り、変更することが可能になります。 | 6.3 |
CVE 2024-08-10 09:00:05.527669 |
| CVE-2024-3936 | The Post Grid - Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid plugin for WordPress は、7.6.1 までのすべてのバージョンにおいて、rtTPGSaveSettings 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバアクセス以上の認証された攻撃者が、プラグインの設定を変更したり、AJAXアクションによってフックされた他の機能を呼び出したりすることが可能になります。 | 4.3 |
CVE 2024-08-10 09:00:05.527132 |
| CVE-2024-3897 | Popup Box - Best WordPress Popup Plugin プラグインは、4.3.6 までのすべてのバージョンにおいて ays_pb_create_author AJAX アクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がウェブサイトに登録されているすべての電子メールを列挙することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.526536 |
| CVE-2024-3895 | WordPress 用 WP Datepicker プラグインは、2.1.0 までのすべてのバージョンにおいて、 wpdp_add_new_datepicker_ajax() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、権限の昇格に使用可能な任意のオプションを更新することが可能となります。この問題は、2.0.9 および 2.1.0 で部分的に修正され、2.1.1 で完全に修正されました。 | 8.8 |
CVE 2024-08-10 09:00:05.525655 |
| CVE-2024-3891 | WordPress 用 Elementor プラグイン Happy Addons には、3.10.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ウィジェットの HTML タグを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.525140 |
| CVE-2024-3885 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、subcontainer の値パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.524559 |
| CVE-2024-3870 | WordPress 用プラグイン Contact Form 7 Database Addon - CFDB7 には、1.2.6.8 までのバージョンにおいて cfdb7_before_send_mail 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーによってアップロードされたファイルから、個人を特定できる情報などの機密データを抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.523936 |
| CVE-2024-3849 | WordPress 用の Click to Chat - HoliThemes プラグインは、3.35 までのすべてのバージョンにおいて、ローカルファイル包含の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードしたり する場合にコードの実行を可能にします。 | 8.8 |
CVE 2024-08-10 09:00:05.523349 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.