WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2015-10124 | WordPressの0.8までのMost Popular Posts Widget Pluginに脆弱性が見つかりました。この脆弱性はクリティカルに分類されています。影響を受けるのは、functions.php ファイルの add_views/show_views 関数です。この操作はSQLインジェクションにつながります。リモートからの攻撃が可能です。バージョン 0.9 にアップグレードすることで、この問題に対処できます。パッチは a99667d11ac8d320006909387b100e9a8b5c12e1 として識別されます。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241026 は、この脆弱性に割り当てられた識別子です。 | 9.8 |
CVE 2024-01-10 09:00:07.881828 |
| CVE-2023-41731 | I Thirteen Web Solution WordPress の公開投稿メール通知プラグイン <= 1.0.2.2 バージョンに、認証 (admin+) 保存型クロスサイトスクリプティング (XSS) の脆弱性。 | 4.8 |
CVE 2024-01-10 03:00:14.542849 |
| CVE-2015-9297 | WordPress 5.6以前のevents-managerプラグインにXSSがあります。 | 6.1 |
CVE 2023-12-18 09:00:06.710357 |
| CVE-2022-29450 | WordPress の Admin Management Xtended プラグイン <= 2.4.4 に複数のクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2023-12-18 09:00:06.709264 |
| CVE-2022-1094 | 4.59.4 以前の amr users WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-12-18 09:00:06.708589 |
| CVE-2021-42362 | WordPress Popular Posts WordPress プラグインには、~/src/Image.php ファイルで発見された不十分な入力ファイルタイプ検証により、任意のファイルをアップロードされる脆弱性があります。このため、5.3.2 までのバージョンでは、投稿者レベル以上のアクセス権を持つ攻撃者が、リモートでコードを実行するために使用できる悪意のあるファイルをアップロードすることが可能です。 | 8.8 |
CVE 2023-12-18 09:00:06.705710 |
| CVE-2017-18559 | 14.13.3 以前の WordPress 用 cforms2 プラグインには、複数の XSS 問題があります。 | 6.1 |
CVE 2023-12-18 03:00:05.920302 |
| CVE-2020-15364 | WordPress用テーマ1.7までのNexosでは、top-map/?search_location=が反映されたXSSを利用することができます。 | 6.1 |
CVE 2023-12-17 23:00:06.418478 |
| CVE-2022-1005 | 13.2.2 以前の WP Statistics WordPress プラグインは、REQUEST_URI パラメータをレンダリングページに出力する前にサニタイズしないため、文字をエンコードしないウェブブラウザでクロスサイトスクリプティング(XSS)を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-17 09:00:05.468972 |
| CVE-2022-1532 | 1.3.8 以前の Themify WordPress プラグインは、管理ページで属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-17 03:00:08.765426 |
| CVE-2022-1724 | 4.1.1 以前の Simple Membership WordPress プラグインは、AJAX アクションで出力する前にパラメータを適切にサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-16 23:00:05.217272 |
| CVE-2022-1604 | 1.5.4 以前の MailerLite WordPress プラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-16 09:00:07.745662 |
| CVE-2022-2173 | Advanced Database Cleaner WordPress プラグイン 3.1.1 以前では、管理者ダッシュボードページの href 属性に出力する前に多数の生成 URL をエスケープしないため、反射型クロスサイトスクリプティングが発生する。 | 6.1 |
CVE 2023-12-16 03:00:06.531925 |
| CVE-2021-24349 | この Gallery from files WordPress プラグイン 1.6.0 を使用すると、画像をサーバーにアップロードする機能が提供されます。しかし、ファイル名が無効な拡張子を持つ場合、エラーメッセージに出力される前に適切にサニタイズされないため、クロスサイトスクリプティングの問題が反映されることになります。CSRF チェックがないため、このようなベクトルによる攻撃も可能です。 | 6.1 |
CVE 2023-12-15 23:00:06.314815 |
| CVE-2022-29408 | Vsourz Digital の Advanced Contact form 7 DB プラグイン <= 1.8.7 at WordPress に持続的なクロスサイトスクリプティング (XSS) の脆弱性が存在します。 | 6.1 |
CVE 2023-12-15 09:00:09.067536 |
| CVE-2018-11105 | WordPress 8.0.08 以前の wp-live-chat-support プラグインには、悪意のある攻撃者が管理者との新しいチャットを開始するたびに、wp-json/wp_live_chat_support/v1/start_chat の "name" (aka wplc_name) と "email" (aka wplc_email) 入力フィールドを介して保存されたクロスサイトスクリプティングがあります。注意:この問題は、CVE-2018-9864の修正が不完全であるために存在します。 | 6.1 |
CVE 2023-12-15 03:00:09.909284 |
| CVE-2022-0346 | 2.0.4 以前の XML Sitemap Generator for Google WordPress プラグインは、任意の値を設定できるパラメータを検証しないため、allow_url_include がオンになっているとエラーメッセージ経由の XSS や RCE を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-14 23:00:06.171985 |
| CVE-2022-1547 | 1.0.6 以前の WordPress プラグイン Check & Log Email では、管理ページでパラメータを属性として出力する前にサニタイズおよびエスケープを行っていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-14 09:00:08.908672 |
| CVE-2019-9909 | WordPress 2.3.1 以前の「Donation Plugin and Fundraising Platform」プラグインに wp-admin/edit.php の csv XSS があります。 | 6.1 |
CVE 2023-12-14 03:00:10.606793 |
| CVE-2019-14364 | WordPress 用プラグイン "Email Subscribers & Newsletters" 4.1.6 に XSS の脆弱性があり、攻撃者は esfpx_name wp-admin/admin-ajax.php POST パラメータを使用して公開された購読フォームから不正な JavaScript コードを挿入することができます。 | 6.1 |
CVE 2023-12-13 23:00:06.911175 |
| CVE-2020-28034 | WordPress 5.5.2 以前のバージョンでは、グローバル変数に関連した XSS が可能です。 | 6.1 |
CVE 2023-12-13 09:00:12.394076 |
| CVE-2022-1904 | 3.2.1 以前の WordPress プラグイン Pricing Tables は、特定の設定が有効な場合に、すべてのユーザー(認証済みおよび未認証の両方)が利用できるページに出力する前にパラメータをサニタイズおよびエスケープせず、Reflected Cross-Site Scripting を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-13 03:00:12.185175 |
| CVE-2022-0428 | 5.3.0 以前の Content Egg WordPress プラグインは、Autoblogging 管理画面の属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-12 23:00:05.037186 |
| CVE-2022-0625 | 1.0.4 までの Admin Menu Editor WordPress プラグインは、管理ページに出力する前にパラメータをサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting を受ける可能性があります。 | 6.1 |
CVE 2023-12-12 09:00:20.243459 |
| CVE-2022-1218 | WordPress プラグイン Domain Replace 1.3.8 では、管理画面の属性として出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-12 03:00:07.734794 |
| CVE-2022-1221 | Gwyn's Imagemap Selector WordPress プラグイン 0.3.3 までは、一部のパラメータを属性で出力する前にサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting の可能性があります。 | 6.1 |
CVE 2023-12-11 23:00:04.488170 |
| CVE-2022-1582 | 1.43 以前の WordPress プラグイン External Links in New Window / New Tab は、onclick イベントハンドラに連結される URL を適切にエスケープしないため、Stored Cross-Site Scripting 攻撃を受ける可能性がありました。 | 6.1 |
CVE 2023-12-11 09:00:14.170359 |
| CVE-2022-1171 | 14.0 以前の Vertical scroll recent post WordPress プラグインは、パラメータを属性で出力する前にサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-11 03:00:07.575431 |
| CVE-2019-16987 | v4.5.7までのFusionPBXでは、appcontact_import.phpでURLから来るquery_string変数がサニタイズされておらず、それがHTMLに反映されてXSSにつながるという問題点がありました。 | 6.1 |
CVE 2023-12-10 23:00:04.656560 |
| CVE-2021-46782 | 1.9.5以前のPricing Table by Supsystic WordPressプラグインは、管理画面の属性に出力する前にタブパラメータをエスケープしないため、クロスサイトスクリプティングが反映されてしまいます。 | 6.1 |
CVE 2023-12-10 09:00:05.837610 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.