WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-12532 | WordPress 用 BWD Elementor Addons プラグインは、4.3.18 までのすべてのバージョンにおいて、 widgets/bwdeb-content-switcher.php に機密情報漏洩の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、機密のプライベートデータ、保留中のデータ、およびドラフトテンプレートデータを抽出することが可能になります。 | 4.3 |
CVE 2025-04-17 09:00:05.280777 |
| CVE-2024-12316 | WordPress 用 Jupiter X Core プラグインは、4.8.5 までのすべてのバージョンにおいて、export_popup_action() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がポップアップテンプレートをエクスポートすることが可能になってしまいます。 | 5.3 |
CVE 2025-04-17 09:00:05.279850 |
| CVE-2024-12033 | WordPress 用 Jupiter X Core プラグインは、4.8.5 までのすべてのバージョンにおいて、sync_libraries() 関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がライブラリを同期することが可能です。 | 4.3 |
CVE 2025-04-17 09:00:05.278928 |
| CVE-2024-11826 | Quill Forms|The Best Typeform Alternative|Create Conversational Multi Step Form, Survey, Quiz, Cost Estimation or Donation Form on WordPress plugin for WordPress には、3.10.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'quillforms-popup' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 09:00:05.277805 |
| CVE-2025-22349 | Owen Cutajar & Hyder Jaffari WordPress Auction Plugin の SQL コマンドで使用される特殊要素の不適切な中和(「SQL インジェクション」)の脆弱性により、SQL インジェクションが可能です。この問題は、WordPress Auction Plugin の n/a から 3.7 に影響します。 | 7.6 |
CVE 2025-04-17 09:00:05.277166 |
| CVE-2025-22336 | WordPress 智库 Wizhi Multi Filters by Wenprise にクロスサイトリクエストフォージェリ (CSRF) の脆弱性 (Stored XSS) が存在します。この問題は、Wizhi Multi Filters by Wenprise の n/a から 1.8.6 までのバージョンに影響します。 | 7.1 |
CVE 2025-04-17 09:00:05.276477 |
| CVE-2025-22298 | この問題は、Hive Support - WordPress Help Desk の n/a から 1.1.6 までのバージョンに影響します。 | 4.3 |
CVE 2025-04-17 09:00:05.275281 |
| CVE-2024-12719 | WordPress 用の WordPress File Upload プラグインは、4.24.15 までのすべてのバージョンにおいて、'wfu_ajax_action_read_subfolders' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress のディレクトリとサブディレクトリを閲覧するために限定的なパストラバーサルを実行することが可能になります。ファイルの閲覧はできません。 | 4.3 |
CVE 2025-04-17 09:00:05.273414 |
| CVE-2024-12699 | WordPress 用 Service Box プラグインは、1.9 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 09:00:05.272550 |
| CVE-2024-12152 | WordPress 用 MIPL WC Multisite Sync プラグインは、1.1.5 までのすべてのバージョンにおいて、'mipl_wc_sync_download_log' アクションを経由したディレクトリトラバーサルの脆弱性があります。このため、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 7.5 |
CVE 2025-04-17 09:00:05.269497 |
| CVE-2024-12024 | EventPrime - Events Calendar, Bookings and Tickets plugin for WordPress には、4.0.5.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、em_ticket_category_data および em_ticket_individual_data パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、管理者ユーザが注入されたページにアクセスするたびに実行されます。 注意:この脆弱性は、「ゲスト投稿」設定が有効になっている必要があります。デフォルトでは無効になっています。 | 7.2 |
CVE 2025-04-17 03:00:05.237468 |
| CVE-2024-12516 | WordPress 用 Coupon Plugin プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'Coupon Code' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.152588 |
| CVE-2024-12202 | WordPressのCroma Musicプラグインは、3.6までのすべてのバージョンにおいて、'ironMusic_ajax'関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。 | 8.8 |
CVE 2025-04-17 03:00:05.151619 |
| CVE-2024-12077 | WordPress 用の Booking Calendar プラグインと Booking Calendar Pro プラグインは、それぞれ 3.2.19 と 11.2.19 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'calendar_id' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-17 03:00:05.150727 |
| CVE-2024-10866 | WordPress 用 Export Import Menus プラグインは、1.9.1 までのすべてのバージョンにおいて、dsp_export_import_menus() 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者がメニューデータと設定をエクスポートすることが可能になります。 | 5.3 |
CVE 2025-04-17 03:00:05.150149 |
| CVE-2024-9502 | Master Addons - Elementor Addons with White Label, Free Widgets, Hover Effects, Conditions, & Animations plugin for WordPress は、2.0.6.7 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの Tooltip モジュールを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.149527 |
| CVE-2024-9354 | WordPress 用 Estatik Mortgage Calculator プラグインは、2.0.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'color' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-04-17 03:00:05.148937 |
| CVE-2024-12781 | WordPress用テーマ「Aurum - WordPress & WooCommerce Shopping Theme」は、4.0.2までのすべてのバージョンにおいて、「lab_1cl_demo_install_package_content」関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、インポートされたデモコンテンツでコンテンツを上書きすることが可能になります。 | 4.3 |
CVE 2025-04-17 03:00:05.148168 |
| CVE-2024-12624 | WordPress 用 Sina Extension for Elementor プラグインは、3.5.91 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Sina Image Differ ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.147288 |
| CVE-2024-12499 | WordPress 用の WP jQuery DataTable プラグインは、4.0.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'wp_jdt' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.146638 |
| CVE-2024-12495 | WordPress 用 Bootstrap Blocks for WP Editor v2 プラグインは、入力のサニタイズと出力のエスケープが不十分なため、2.5.0 までのすべてのバージョンにおいて、'gtb-bootstrap/column' ブロックを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター・レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.146055 |
| CVE-2024-12437 | WordPress 用の Marketplace Items プラグインは、1.5.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'envato' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.145452 |
| CVE-2024-11764 | WordPress 用 Solar Wizard Lite プラグインは、1.2.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'solar_wizard' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.144864 |
| CVE-2024-11725 | WordPress 用 SMS Alert Order Notifications - WooCommerce プラグインは、3.7.6 までのすべてのバージョンにおいて、 updateWcWarrantySettings() 関数の機能チェックが欠落しているため、権限の昇格につながる不正なデータ変更の脆弱性があります。これにより、加入者レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプションを更新することが可能になります。これを利用して、登録用のデフォルトのロールを管理者に更新し、攻撃者が脆弱なサイトへの管理者ユーザーアクセスを得るためのユーザー登録を可能にすることができます。この問題を悪用するには、woocommerce-warranty プラグインがインストールされている必要があることに注意してください。 | 8.8 |
CVE 2025-04-17 03:00:05.144187 |
| CVE-2024-11282 | WordPress 用プラグイン Passster - Password Protect Pages and Content には、4.2.10 までのすべてのバージョンにおいて、WordPress のコア検索機能を経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、管理者などの上位ロールに制限された投稿から機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-04-17 03:00:05.143441 |
| CVE-2024-9702 | WordPress 用の Social Rocket - Social Sharing Plugin プラグインは、1.3.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'socialrocket-floating' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-04-17 03:00:05.142654 |
| CVE-2024-9697 | WordPress 用プラグイン Social Rocket - Social Sharing Plugin には、1.3.4 までのすべてのバージョンにおいて、tweet_settings_save() および tweet_settings_update() 関数の機能チェックが欠落しているため、データが不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者がプラグインの設定を更新することが可能になります。 | 5.3 |
CVE 2025-04-17 03:00:05.141829 |
| CVE-2024-9638 | 4.9.18より前のCategory Posts Widget WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-04-17 03:00:05.141036 |
| CVE-2024-8857 | 3.7 までの WordPress Auction Plugin WordPress プラグインは、その設定の一部をサニタイズおよびエスケープしていないため、編集者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-04-17 03:00:05.140379 |
| CVE-2024-8855 | WordPressオークションプラグインWordPressプラグイン3.7は、SQL文で使用する前にパラメータをサニタイズおよびエスケープしないため、エディタ以上でSQLインジェクション攻撃を行うことができる。 | 9.8 |
CVE 2025-04-17 03:00:05.139498 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.