WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] (6212)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-12532 WordPress 用 BWD Elementor Addons プラグインは、4.3.18 までのすべてのバージョンにおいて、 widgets/bwdeb-content-switcher.php に機密情報漏洩の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、機密のプライベートデータ、保留中のデータ、およびドラフトテンプレートデータを抽出することが可能になります。 4.3 CVE
2025-04-17 09:00:05.280777
CVE-2024-12316 WordPress 用 Jupiter X Core プラグインは、4.8.5 までのすべてのバージョンにおいて、export_popup_action() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がポップアップテンプレートをエクスポートすることが可能になってしまいます。 5.3 CVE
2025-04-17 09:00:05.279850
CVE-2024-12033 WordPress 用 Jupiter X Core プラグインは、4.8.5 までのすべてのバージョンにおいて、sync_libraries() 関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がライブラリを同期することが可能です。 4.3 CVE
2025-04-17 09:00:05.278928
CVE-2024-11826 Quill Forms|The Best Typeform Alternative|Create Conversational Multi Step Form, Survey, Quiz, Cost Estimation or Donation Form on WordPress plugin for WordPress には、3.10.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'quillforms-popup' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 09:00:05.277805
CVE-2025-22349 Owen Cutajar & Hyder Jaffari WordPress Auction Plugin の SQL コマンドで使用される特殊要素の不適切な中和(「SQL インジェクション」)の脆弱性により、SQL インジェクションが可能です。この問題は、WordPress Auction Plugin の n/a から 3.7 に影響します。 7.6 CVE
2025-04-17 09:00:05.277166
CVE-2025-22336 WordPress 智库 Wizhi Multi Filters by Wenprise にクロスサイトリクエストフォージェリ (CSRF) の脆弱性 (Stored XSS) が存在します。この問題は、Wizhi Multi Filters by Wenprise の n/a から 1.8.6 までのバージョンに影響します。 7.1 CVE
2025-04-17 09:00:05.276477
CVE-2025-22298 この問題は、Hive Support - WordPress Help Desk の n/a から 1.1.6 までのバージョンに影響します。 4.3 CVE
2025-04-17 09:00:05.275281
CVE-2024-12719 WordPress 用の WordPress File Upload プラグインは、4.24.15 までのすべてのバージョンにおいて、'wfu_ajax_action_read_subfolders' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress のディレクトリとサブディレクトリを閲覧するために限定的なパストラバーサルを実行することが可能になります。ファイルの閲覧はできません。 4.3 CVE
2025-04-17 09:00:05.273414
CVE-2024-12699 WordPress 用 Service Box プラグインは、1.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 09:00:05.272550
CVE-2024-12152 WordPress 用 MIPL WC Multisite Sync プラグインは、1.1.5 までのすべてのバージョンにおいて、'mipl_wc_sync_download_log' アクションを経由したディレクトリトラバーサルの脆弱性があります。このため、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 7.5 CVE
2025-04-17 09:00:05.269497
CVE-2024-12024 EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress には、4.0.5.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、em_ticket_category_data および em_ticket_individual_data パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、管理者ユーザが注入されたページにアクセスするたびに実行されます。 注意:この脆弱性は、「ゲスト投稿」設定が有効になっている必要があります。デフォルトでは無効になっています。 7.2 CVE
2025-04-17 03:00:05.237468
CVE-2024-12516 WordPress 用 Coupon Plugin プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'Coupon Code' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.152588
CVE-2024-12202 WordPressのCroma Musicプラグインは、3.6までのすべてのバージョンにおいて、'ironMusic_ajax'関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 8.8 CVE
2025-04-17 03:00:05.151619
CVE-2024-12077 WordPress 用の Booking Calendar プラグインと Booking Calendar Pro プラグインは、それぞれ 3.2.19 と 11.2.19 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'calendar_id' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-04-17 03:00:05.150727
CVE-2024-10866 WordPress 用 Export Import Menus プラグインは、1.9.1 までのすべてのバージョンにおいて、dsp_export_import_menus() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がメニューデータと設定をエクスポートすることが可能になります。 5.3 CVE
2025-04-17 03:00:05.150149
CVE-2024-9502 Master Addons - Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations plugin for WordPress は、2.0.6.7 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの Tooltip モジュールを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.149527
CVE-2024-9354 WordPress 用 Estatik Mortgage Calculator プラグインは、2.0.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'color' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2025-04-17 03:00:05.148937
CVE-2024-12781 WordPress用テーマ「Aurum - WordPress & WooCommerce Shopping Theme」は、4.0.2までのすべてのバージョンにおいて、「lab_1cl_demo_install_package_content」関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、インポートされたデモコンテンツでコンテンツを上書きすることが可能になります。 4.3 CVE
2025-04-17 03:00:05.148168
CVE-2024-12624 WordPress 用 Sina Extension for Elementor プラグインは、3.5.91 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Sina Image Differ ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.147288
CVE-2024-12499 WordPress 用の WP jQuery DataTable プラグインは、4.0.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wp_jdt' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.146638
CVE-2024-12495 WordPress 用 Bootstrap Blocks for WP Editor v2 プラグインは、入力のサニタイズと出力のエスケープが不十分なため、2.5.0 までのすべてのバージョンにおいて、'gtb-bootstrap/column' ブロックを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.146055
CVE-2024-12437 WordPress 用の Marketplace Items プラグインは、1.5.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'envato' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.145452
CVE-2024-11764 WordPress 用 Solar Wizard Lite プラグインは、1.2.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'solar_wizard' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.144864
CVE-2024-11725 WordPress 用 SMS Alert Order Notifications - WooCommerce プラグインは、3.7.6 までのすべてのバージョンにおいて、 updateWcWarrantySettings() 関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、加入者レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録用のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。この問題を悪用するには、woocommerce-warranty プラグインがインストールされている必要があることに注意してください。 8.8 CVE
2025-04-17 03:00:05.144187
CVE-2024-11282 WordPress 用プラグイン Passster - Password Protect Pages and Content には、4.2.10 までのすべてのバージョンにおいて、WordPress のコア検索機能を経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、管理者などの上位ロールに制限された投稿から機密データを抽出することが可能になります。 5.3 CVE
2025-04-17 03:00:05.143441
CVE-2024-9702 WordPress 用の Social Rocket - Social Sharing Plugin プラグインは、1.3.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'socialrocket-floating' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-04-17 03:00:05.142654
CVE-2024-9697 WordPress 用プラグイン Social Rocket - Social Sharing Plugin には、1.3.4 までのすべてのバージョンにおいて、tweet_settings_save() および tweet_settings_update() 関数の機能チェックが欠落しているため、データが不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がプラグインの設定を更新することが可能になります。 5.3 CVE
2025-04-17 03:00:05.141829
CVE-2024-9638 4.9.18より前のCategory Posts Widget WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-04-17 03:00:05.141036
CVE-2024-8857 3.7 までの WordPress Auction Plugin WordPress プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、編集者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 4.8 CVE
2025-04-17 03:00:05.140379
CVE-2024-8855 WordPressオークションプラグインWordPressプラグイン3.7は、SQL文で使用する前にパラメータをサニタイズおよびエスケープしないため、エディタ以上でSQLインジェクション攻撃を行うことができる。 9.8 CVE
2025-04-17 03:00:05.139498
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] (6212)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.