WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-8418 | B Slider- Gutenberg Slider Block for WP plugin for WordPress は、1.1.30 までのすべてのバージョンにおいて、任意のプラグインインストールの脆弱性があります。これは、activated_plugin 関数の機能チェックが欠落しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のプラグインをサーバにインストールすることが可能となり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2025-11-20 03:00:08.100711 |
| CVE-2025-8081 | WordPress 用 Elementor プラグインは、3.30.2 までのすべてのバージョンにおいて、指定されたファイル名に対する制御が不十分なため、Import_Images::import() 関数経由で任意のファイルを読み取られる脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 4.9 |
CVE 2025-11-20 03:00:08.100055 |
| CVE-2025-6253 | UiCore Elements - Free Elementor widgets and templates plugin for WordPress は、1.3.0 までのすべてのバージョンにおいて、prepare_template() 関数経由での任意のファイル読み込みの脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報を含む可能性があります。 | 7.5 |
CVE 2025-11-20 03:00:08.098916 |
| CVE-2025-8314 | WordPress 用の Software Issue Manager プラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.0.1 までのすべてのバージョンにおいて、「noaccess_msg」パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.097820 |
| CVE-2025-8059 | WordPress 用の B Blocks プラグインには、2.0.6 までのすべてのバージョンにおいて、rgfr_registration() 関数内での認証漏れと不適切な入力検証による特権昇格の脆弱性があります。これにより、認証されていない攻撃者が新しいアカウントを作成し、管理者ロールを割り当てることが可能になります。 | 9.8 |
CVE 2025-11-20 03:00:08.096954 |
| CVE-2025-8690 | WordPress 用 Simple Responsive Slider プラグインは、2.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2025-11-20 03:00:08.095787 |
| CVE-2025-8688 | WordPress 用の Inline Stock Quotes プラグインは、0.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの stock ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.094835 |
| CVE-2025-8685 | WordPress 用の Wp chart generator プラグインは、1.0.4 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wpchart ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.093816 |
| CVE-2025-8621 | WordPress 用 Mosaic Generator プラグインは、1.0.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'c' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.093230 |
| CVE-2025-8568 | WordPress 用の GMap Generator プラグインは、1.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'h' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.092627 |
| CVE-2025-8462 | RT Easy Builder - Advanced addons for Elementor plugin for WordPress は、2.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、social URL パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-20 03:00:08.091855 |
| CVE-2025-5391 | WordPress 用 WooCommerce Purchase Orders プラグインは、1.0.2 までのすべてのバージョンにおいて delete_file() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がサーバー上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 8.1 |
CVE 2025-11-20 03:00:08.090779 |
| CVE-2025-4390 | WordPress 用 WP Private Content Plus プラグインは、3.6.2 までのすべてのバージョンにおいて、'validate_restrictions' 関数を経由した機密情報暴露の脆弱性があります。これにより、未認証の攻撃者がアーカイブやフィードページで制限された投稿の内容を含む機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-11-20 03:00:08.087074 |
| CVE-2024-13509 | WS Form LITE - Drag & Drop Contact Form Builder for WordPress プラグインは、1.10.13 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、url パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。注意: この脆弱性は 1.10.13 で部分的に修正され、1.10.14 で完全に修正されました。 | 7.2 |
CVE 2025-11-19 23:00:20.344965 |
| CVE-2024-13696 | Flexible Wishlist for WooCommerce - Ecommerce Wishlist & Save for later plugin for WordPress は、1.2.25 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'wishlist_name' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-11-19 09:00:09.488977 |
| CVE-2024-10574 | 8.8.0(Business)、21.8.0(Developer)、31.8.0(Agency)までのすべてのバージョンにおいて、'ays_save_google_credentials'関数の機能チェックが欠落しているため、WordPress用のQuiz Maker Business、Developer、Agencyプラグインには、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がプラグインの設定内で Google Sheets の統合認証情報を変更することが可能になります。client_id'パラメータは出力で使用される際にサニタイズまたはエスケープされないため、この脆弱性は、ユーザーが注入されたページにアクセスするたびに実行されるページ内の任意のWebスクリプトを注入するためにも活用される可能性があります。 | 7.2 |
CVE 2025-11-19 03:00:09.063714 |
| CVE-2025-7965 | 1.2.1までのCBX Restaurant Booking WordPressプラグインは、設定を更新する際にCSRFチェックが行われていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 4.3 |
CVE 2025-11-19 03:00:08.866448 |
| CVE-2025-0511 | WordPress 用 Welcart e-Commerce プラグインは、2.11.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'name' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-11-18 23:00:08.399198 |
| CVE-2024-12773 | Altra Side Menu WordPress プラグイン 2.0 では、SQL 文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしていないため、管理者が SQL インジェクション攻撃を行うことができます。 | 7.2 |
CVE 2025-11-18 09:00:06.855057 |
| CVE-2025-3300 | WPMasterToolKit (WPMTK) - All in one plugin plugin for WordPress には、2.5.2 までのすべてのバージョンにおいて Directory Traversal の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、機密情報を含む可能性のあるサーバ上の任意のファイルの内容を読み取り、変更することが可能になります。 | 7.2 |
CVE 2025-11-18 03:00:14.483269 |
| CVE-2024-12599 | HT Mega - Absolute Addons For Elementor plugin for WordPress は、2.8.1 までのすべてのバージョンにおいて、プラグインのカウントダウンウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-11-17 23:00:11.264978 |
| CVE-2024-12600 | WordPress 用 WooCommerce プラグイン Custom Product Tabs Lite には、1.9.0 までのすべてのバージョンにおいて、 'frs_woo_product_tabs' パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、ショップマネージャレベル以上のアクセス権を持つ、 認証された攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱なソフトウェアには、既知の POP チェーンは存在しません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、 機密データを取得したり、コードを実行したりできる可能性があります。 | 7.2 |
CVE 2025-11-17 09:00:12.004248 |
| CVE-2025-7726 | WordPress 用テーマ The7 には、入力のサニタイズと出力のエスケープが不十分なため、12.6.0 までのすべてのバージョンにおいて、ライトボックスのレンダリングコードを経由した Stored Cross-Site Scripting の脆弱性があります。このテーマのJavaScriptは、jQuery.attr()を使用してユーザーから提供された'title'属性と'data-dt-img-description'属性を直接読み取り、それらをHTML文字列に連結し、エスケープやフィルタリングを行わずにjQuery.html()などのメソッドを使用してその文字列をDOMに挿入します。これにより、Contributorレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-11-17 09:00:11.824254 |
| CVE-2024-9664 | WordPress 用 WP All Import Pro プラグインは、4.9.7 までのすべてのバージョンにおいて、 インポートファイルからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトを注入することが可能となります。脆弱なソフトウェアには、既知の POP チェーンは存在しません。ターゲットシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 | 7.2 |
CVE 2025-11-17 03:00:12.342607 |
| CVE-2025-0428 | WordPress 用プラグイン "AI Power:WordPress 用プラグイン "Complete AI Pack" には、1.8.96 までのバージョンにおいて、 wpaicg_export_prompts 関数を通じて $form['post_content'] 変数から信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者権限を持つ認証済みの攻撃者が PHP Object を注入することが可能となります。脆弱なプラグインには POP チェーンが存在しません。もし POP チェーンがターゲットシステムにインストールされた追加のプラグインやテーマを通じて存在すると、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 | 7.2 |
CVE 2025-11-16 09:00:08.877920 |
| CVE-2025-4796 | WordPress 用 Eventin プラグインは、4.0.34 までのすべてのバージョンにおいて、アカウント乗っ取りによる特権昇格の脆弱性があります。これは、'EventinSpeakerController::update_item' 関数で電子メールなどの詳細を更新する前に、プラグインがユーザの身元や能力を適切に検証しないためです。このため、投稿者レベル以上の権限を持つ認証されていない攻撃者が、管理者を含む任意のユーザーのメールアドレスを変更し、そのユーザーのパスワードをリセットしてアカウントにアクセスできるようになります。 | 8.8 |
CVE 2025-11-16 09:00:06.523767 |
| CVE-2024-8699 | 1.11.5より前のZ-Downloads WordPressプラグインは、アップロードされたファイルを適切に検証しないため、管理者のような高い権限を持つユーザーが、許可されていないにもかかわらず、サーバー上に任意のファイルをアップロードできてしまいます(マルチサイト設定など)。 | 7.2 |
CVE 2025-11-16 03:00:13.832258 |
| CVE-2025-6572 | 1.2.0までのOpenStreetMap for Gutenberg and WPBakery Page Builder (formerly Visual Composer) WordPressプラグインは、ブロックが埋め込まれているページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしません。 | 5.9 |
CVE 2025-11-16 03:00:13.663161 |
| CVE-2025-54940 | 6.4.3以前のWordPressプラグイン「Advanced Custom Fields」にHTMLインジェクションの脆弱性が存在します。この脆弱性が悪用された場合、細工された HTML コードがレンダリングされ、ページの表示が改ざんされる可能性があります。 | 3.4 |
CVE 2025-11-16 03:00:13.659056 |
| CVE-2025-0429 | WordPress 用プラグイン "AI Power:WordPress 用プラグイン "Complete AI Pack" には、1.8.96 までのバージョンにおいて、 wpaicg_export_ai_forms() 関数を通じて $form['post_content'] 変数から信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者権限を持つ認証済みの攻撃者が PHP Object を注入することが可能となります。脆弱なプラグインには POP チェーンが存在しません。対象のシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 | 7.2 |
CVE 2025-11-15 23:00:04.509098 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.