WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-7556 0.5.3までのSimple Share WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.576288
CVE-2024-6809 1.4.3以前のSimple Video Directory WordPressプラグインは、認証されていないユーザーが利用可能なAJAXアクションでSQLステートメントにパラメータを使用する前に、パラメータを適切にサニタイズおよびエスケープしておらず、SQLインジェクションにつながります。 9.8 CVE
2025-08-23 09:00:08.575768
CVE-2024-6798 1.2までのDL Verification WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.575209
CVE-2024-6797 1.2までのDL Robots.txt WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.574279
CVE-2024-6719 1.0.1より前のOffload Videos WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、低権限ユーザーがCSRF攻撃によって設定を更新できる可能性がある。 8.1 CVE
2025-08-23 09:00:08.573406
CVE-2024-6718 PVN Auth Popup WordPressプラグイン1.0.0では、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 5.4 CVE
2025-08-23 09:00:08.572876
CVE-2024-6713 PVN Auth Popup WordPressプラグイン1.0.0では、一部の設定がサニタイズおよびエスケープされていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.572004
CVE-2024-6712 0.2.1 までの MapFig Studio WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 6.1 CVE
2025-08-23 09:00:08.571381
CVE-2024-6711 2.3.8以前のWordPressプラグイン「Event Tickets with Ticket Scanner」は、一部のパラメータをサニタイズおよびエスケープしていないため、管理者以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-08-23 09:00:08.570814
CVE-2024-6708 3.12.2以前のUser Profile Builder WordPressプラグインは、管理エリアにコンテンツを出力する前に一部のパラメータをサニタイズおよびエスケープしていないため、Admin+ユーザーがクロスサイトスクリプティング攻撃を行う可能性があります。 4.8 CVE
2025-08-23 09:00:08.570234
CVE-2024-6693 15.3より前のwccp-pro WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.569609
CVE-2024-6690 15.3より前のwccp-pro WordPressプラグインには、referrerパラメータを経由したオープンリダイレクトの欠陥があり、ユーザーを外部サイトへリダイレクトさせることができる。 6.1 CVE
2025-08-23 09:00:08.569076
CVE-2024-6668 1.3までのProfilePro WordPressプラグインは、一部のパラメータをサニタイズおよびエスケープしておらず、適切なアクセス制御を欠いているため、subscriber程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2025-08-23 09:00:08.568536
CVE-2024-6667 KBucket:4.1.5以前のWordPressプラグインでは、パラメータをエスケープしてからページに出力しないため、管理者に悪用される可能性のあるクロスサイトスクリプティングが発生します。 6.1 CVE
2025-08-23 09:00:08.567977
CVE-2024-6665 KBucket:4.1.6以前のWordPressプラグインでは、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.566668
CVE-2024-6486 WordPress 用の 1.7.11 より前の ImageMagick Engine WordPress プラグインには、"cli_path" パラメータを経由した OS コマンドインジェクションの脆弱性があります。これにより、管理者レベルの権限を持つ認証済みの攻撃者がサーバ上で任意の OS コマンドを実行し、リモートでコードを実行される可能性があります。 7.2 CVE
2025-08-23 09:00:08.566149
CVE-2024-6478 3.2.13以前のCTT Expresso para WooCommerce WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.565639
CVE-2024-6462 1.2までのDL Yandex Metrika WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.565089
CVE-2024-6335 2.3.0より前のTracking Code Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.564352
CVE-2024-6159 1.9.4以前のPush Notification for Post and BuddyPress WordPressプラグインでは、認証されていないユーザーが利用可能なAJAXアクションを経由してSQLステートメントで使用する前に、パラメータを適切にサニタイズおよびエスケープしていないため、SQLインジェクションが発生します。 9.8 CVE
2025-08-23 09:00:08.563384
CVE-2024-5440 1.8.0.3以前のIf-So Dynamic Content Personalization WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。 5.4 CVE
2025-08-23 09:00:08.562042
CVE-2024-5026 4.3.4以前のCM Tooltip Glossary WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性がある(マルチサイト設定など) 4.8 CVE
2025-08-23 09:00:08.561446
CVE-2024-4665 3.5.0以前のEventPrime WordPressプラグインでは、予約の更新時にパーミッションが適切に検証されないため、他のユーザーの予約を変更/キャンセルすることができます。さらに、この機能にはnonceが欠けています。 5.3 CVE
2025-08-23 09:00:08.560223
CVE-2024-4091 2.3.15以前のResponsive Gallery Grid WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-08-23 09:00:08.558974
CVE-2024-4004 2.5.7以前のAdvanced Cron Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.1 CVE
2025-08-23 09:00:08.558269
CVE-2024-4002 2.6.9以前のWP Carousel WordPressプラグインによるCarousel, Slider, Galleryは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 6.1 CVE
2025-08-23 09:00:08.557575
CVE-2024-3996 2.4.28以前のSmart Post Show WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 6.1 CVE
2025-08-23 09:00:08.556643
CVE-2024-3901 3.1.3までのGenesis Blocks WordPressプラグインは、一部のカスタムブロックに提供された属性を適切にエスケープしないため、投稿を許可されたユーザー(投稿者ロールを持つユーザーなど)がStored XSS攻撃を行う可能性があります。 6.1 CVE
2025-08-23 09:00:08.555299
CVE-2024-3062 3.2.2より前のPdfcrowd WordPressプラグインによる画像として保存プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、管理者のような高権限ユーザーが(マルチサイト設定などで)unfiltered_html機能が許可されていない場合でも、ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.554711
CVE-2024-2869 3.5.4以前のEasy Property Listings WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.554090
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.