WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-7556 | 0.5.3までのSimple Share WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.576288 |
| CVE-2024-6809 | 1.4.3以前のSimple Video Directory WordPressプラグインは、認証されていないユーザーが利用可能なAJAXアクションでSQLステートメントにパラメータを使用する前に、パラメータを適切にサニタイズおよびエスケープしておらず、SQLインジェクションにつながります。 | 9.8 |
CVE 2025-08-23 09:00:08.575768 |
| CVE-2024-6798 | 1.2までのDL Verification WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.575209 |
| CVE-2024-6797 | 1.2までのDL Robots.txt WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.574279 |
| CVE-2024-6719 | 1.0.1より前のOffload Videos WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、低権限ユーザーがCSRF攻撃によって設定を更新できる可能性がある。 | 8.1 |
CVE 2025-08-23 09:00:08.573406 |
| CVE-2024-6718 | PVN Auth Popup WordPressプラグイン1.0.0では、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.572876 |
| CVE-2024-6713 | PVN Auth Popup WordPressプラグイン1.0.0では、一部の設定がサニタイズおよびエスケープされていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.572004 |
| CVE-2024-6712 | 0.2.1 までの MapFig Studio WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 | 6.1 |
CVE 2025-08-23 09:00:08.571381 |
| CVE-2024-6711 | 2.3.8以前のWordPressプラグイン「Event Tickets with Ticket Scanner」は、一部のパラメータをサニタイズおよびエスケープしていないため、管理者以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.570814 |
| CVE-2024-6708 | 3.12.2以前のUser Profile Builder WordPressプラグインは、管理エリアにコンテンツを出力する前に一部のパラメータをサニタイズおよびエスケープしていないため、Admin+ユーザーがクロスサイトスクリプティング攻撃を行う可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.570234 |
| CVE-2024-6693 | 15.3より前のwccp-pro WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.569609 |
| CVE-2024-6690 | 15.3より前のwccp-pro WordPressプラグインには、referrerパラメータを経由したオープンリダイレクトの欠陥があり、ユーザーを外部サイトへリダイレクトさせることができる。 | 6.1 |
CVE 2025-08-23 09:00:08.569076 |
| CVE-2024-6668 | 1.3までのProfilePro WordPressプラグインは、一部のパラメータをサニタイズおよびエスケープしておらず、適切なアクセス制御を欠いているため、subscriber程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.568536 |
| CVE-2024-6667 | KBucket:4.1.5以前のWordPressプラグインでは、パラメータをエスケープしてからページに出力しないため、管理者に悪用される可能性のあるクロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.567977 |
| CVE-2024-6665 | KBucket:4.1.6以前のWordPressプラグインでは、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.566668 |
| CVE-2024-6486 | WordPress 用の 1.7.11 より前の ImageMagick Engine WordPress プラグインには、"cli_path" パラメータを経由した OS コマンドインジェクションの脆弱性があります。これにより、管理者レベルの権限を持つ認証済みの攻撃者がサーバ上で任意の OS コマンドを実行し、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-08-23 09:00:08.566149 |
| CVE-2024-6478 | 3.2.13以前のCTT Expresso para WooCommerce WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.565639 |
| CVE-2024-6462 | 1.2までのDL Yandex Metrika WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.565089 |
| CVE-2024-6335 | 2.3.0より前のTracking Code Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.564352 |
| CVE-2024-6159 | 1.9.4以前のPush Notification for Post and BuddyPress WordPressプラグインでは、認証されていないユーザーが利用可能なAJAXアクションを経由してSQLステートメントで使用する前に、パラメータを適切にサニタイズおよびエスケープしていないため、SQLインジェクションが発生します。 | 9.8 |
CVE 2025-08-23 09:00:08.563384 |
| CVE-2024-5440 | 1.8.0.3以前のIf-So Dynamic Content Personalization WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 | 5.4 |
CVE 2025-08-23 09:00:08.562042 |
| CVE-2024-5026 | 4.3.4以前のCM Tooltip Glossary WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性がある(マルチサイト設定など) | 4.8 |
CVE 2025-08-23 09:00:08.561446 |
| CVE-2024-4665 | 3.5.0以前のEventPrime WordPressプラグインでは、予約の更新時にパーミッションが適切に検証されないため、他のユーザーの予約を変更/キャンセルすることができます。さらに、この機能にはnonceが欠けています。 | 5.3 |
CVE 2025-08-23 09:00:08.560223 |
| CVE-2024-4091 | 2.3.15以前のResponsive Gallery Grid WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.558974 |
| CVE-2024-4004 | 2.5.7以前のAdvanced Cron Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.558269 |
| CVE-2024-4002 | 2.6.9以前のWP Carousel WordPressプラグインによるCarousel, Slider, Galleryは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-08-23 09:00:08.557575 |
| CVE-2024-3996 | 2.4.28以前のSmart Post Show WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 6.1 |
CVE 2025-08-23 09:00:08.556643 |
| CVE-2024-3901 | 3.1.3までのGenesis Blocks WordPressプラグインは、一部のカスタムブロックに提供された属性を適切にエスケープしないため、投稿を許可されたユーザー(投稿者ロールを持つユーザーなど)がStored XSS攻撃を行う可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.555299 |
| CVE-2024-3062 | 3.2.2より前のPdfcrowd WordPressプラグインによる画像として保存プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、管理者のような高権限ユーザーが(マルチサイト設定などで)unfiltered_html機能が許可されていない場合でも、ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.554711 |
| CVE-2024-2869 | 3.5.4以前のEasy Property Listings WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.554090 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.