WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2019-16970 | 4.5.7までのFusionPBXでは、appsip_statusのファイルにおいて、URLから来るサニタイズされていない「savemsg」変数が使われており、それがHTMLに反映されてXSSにつながることがあります。 | 6.1 |
CVE 2023-11-21 09:00:06.710352 |
| CVE-2018-6891 | Bookly #1 WordPress Booking Plugin Lite before 14.5 には ng-payment_details_dialog.js への jQuery.ajax リクエストを経由した XSS が存在します。 | 6.1 |
CVE 2023-11-20 23:00:05.549754 |
| CVE-2016-10873 | WordPress 4.3.3 以前の wp-database-backup プラグインに XSS があります。 | 6.1 |
CVE 2023-11-20 09:00:07.557629 |
| CVE-2020-11731 | Wordpress 用 Media Library Assistant プラグイン 2.82 以前には、すべての [設定] / [Media Library Assistant] タブに複数の XSS 脆弱性があり、リモートの認証済みユーザーに任意の JavaScript を実行される可能性があります。 | 6.1 |
CVE 2023-11-20 03:00:09.674352 |
| CVE-2018-20982 | WordPress 2.74 以前の media-library-assistant プラグインには、管理画面の Media/Assistant または Settings/Media Library assistant サブメニューを経由した XSS があります。 | 6.1 |
CVE 2023-11-19 23:00:05.873432 |
| CVE-2018-20965 | WordPress用2.0.4以前のultimate-memberプラグインにXSSが存在します。 | 6.1 |
CVE 2023-11-19 09:00:07.740442 |
| CVE-2022-1946 | 2.0.0 以前の WordPress プラグイン Gallery では、AJAX アクションのレスポンスに出力する前にパラメータをサニタイズおよびエスケープしないため(未認証および認証ユーザーの両方が利用可能)、Reflected Cross-Site Scripting 問題が発生する可能性があります。 | 6.1 |
CVE 2023-11-19 03:00:06.553478 |
| CVE-2022-0248 | 1.7.3 以前の Contact Form Submissions WordPress プラグインは、コンタクトフォームのリクエストに含まれる追加フィールドを、関連する投稿に出力する前に、サニタイズおよびエスケープしません。その結果、認証されていない攻撃者が、悪意のある投稿を閲覧している管理者に対してクロスサイトスクリプティング攻撃を行う可能性があります。 | 6.1 |
CVE 2023-11-18 23:00:04.894297 |
| CVE-2022-1951 | 2.3.1 以前の WordPress プラグイン kitestudio のコアプラグインは、ベンダーのプレミアムテーマがアクティブなときに、未認証および認証済みのユーザーが利用できる AJAX アクションの応答で出力する前に一部のパラメータをサニタイズおよびエスケープせず、反射型クロスサイトスクリプティングにつながることがあります。 | 6.1 |
CVE 2023-11-18 09:00:08.076505 |
| CVE-2016-10875 | WordPress 4.3.1 以前の wp-database-backup プラグインに XSS があります。 | 6.1 |
CVE 2023-11-17 23:00:05.410831 |
| CVE-2021-24909 | 1.7.5より前のACF Photo Gallery Field WordPressプラグインは、includes/acf_photo_gallery_metabox_edit.phpファイルのpostパラメータを属性で出力する前にサニタイズおよびエスケープしないため、反射型クロスサイトスクリプティングの問題が発生します。 | 6.1 |
CVE 2023-11-17 09:00:07.739524 |
| CVE-2022-1673 | 1.0.2 以前の WooCommerce Green Wallet Gateway WordPress プラグインは、ページに出力する前に error_envision クエリーパラメータをエスケープしないため、Reflected Cross-Site Scripting の脆弱性が発生します。 | 6.1 |
CVE 2023-11-17 03:00:07.450990 |
| CVE-2019-15112 | WordPress の 4.8.1 以前の wp-slimstat プラグインには XSS があります。 | 6.1 |
CVE 2023-11-16 23:00:05.217002 |
| CVE-2019-5962 | Zoho SalesIQ 1.0.8 以前のバージョンには、クロスサイトスクリプティングの脆弱性があり、リモートの攻撃者は、特定されていないベクトルを介して任意のウェブスクリプトまたは HTML を注入することができます。 | 6.1 |
CVE 2023-11-16 09:00:10.618489 |
| CVE-2022-0626 | 1.1.6 以前の Advanced Admin Search WordPress プラグインは、管理ページに出力する前に一部のパラメータをサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-11-16 03:00:08.083368 |
| CVE-2020-28038 | WordPress 5.5.2以前のバージョンでは、ポストスラッグを経由した格納型XSSが可能です。 | 6.1 |
CVE 2023-11-15 23:00:06.316033 |
| CVE-2016-10893 | WordPress用の2.8.4以前のcrayon-syntax-highlighterプラグインには、AJAXリクエストを経由する複数のXSS問題があります。 | 6.1 |
CVE 2023-11-15 09:00:10.704032 |
| CVE-2022-0321 | 3.0 以前の WP Voting Contest WordPress プラグインは、wpvc_social_share_icons AJAX アクション (未認証および認証済みユーザーの両方が利用可能) を通じてレスポンスを出力する前に post_id パラメータをサニタイズおよびエスケープしないため、反射型のクロスサイトスクリプティング問題につながる可能性があります。 | 6.1 |
CVE 2023-11-15 03:00:10.555080 |
| CVE-2021-46780 | 1.9.32 以前の Easy Google Maps WordPress プラグインは、管理画面の属性に出力する前にタブパラメータをエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-11-14 23:00:06.574796 |
| CVE-2019-14949 | WordPress 5.1.2 以前の wp-database-backup プラグインに XSS があります。 | 6.1 |
CVE 2023-11-14 09:00:10.441009 |
| CVE-2022-0953 | 4.20.96 以前の Anti-Malware Security and Brute-Force Firewall WordPress プラグインは、管理ページに出力する前に QUERY_STRING をサニタイズおよびエスケープしないため、文字をエンコードしないブラウザで Reflected Cross-Site Scripting になる可能性があります。 | 6.1 |
CVE 2023-11-14 03:00:08.792542 |
| CVE-2022-1567 | WordPress の WP-JS プラグインには wp-js.php というスクリプトがあり、wp_js_admin という関数で、有効でないユーザー入力を受け付け、それをユーザーにエコーバックします。これは、2.0.6までのバージョンでクロスサイトスクリプティングを反映させるために使用することができます。 | 6.1 |
CVE 2023-11-13 23:00:04.741693 |
| CVE-2022-25617 | WordPress の Code Snippets プラグイン <= 2.14.3 に &orderby 脆弱性パラメータを経由した反射型クロスサイトスクリプティング (XSS) の脆弱性が存在します。 | 6.1 |
CVE 2023-11-13 09:00:04.830875 |
| CVE-2022-29436 | Alexander Stokmann 氏の Code Snippets Extended プラグイン <= 1.4.7 on WordPress に、クロスサイトリクエストフォージェリによる持続的なクロスサイトスクリプティング (XSS) の脆弱性(脆弱なパラメータ &title、&snippet_code)が存在します。 | 6.1 |
CVE 2023-11-13 03:00:06.512134 |
| CVE-2022-1187 | WordPress WP YouTube Live プラグインには、~/inc/admin.php ファイルに見られる POST データを介した Reflected Cross-Site Scripting の脆弱性があり、1.7.21 までのバージョンにおいて、認証されていない攻撃者に任意のウェブスクリプトを注入される可能性があります。 | 6.1 |
CVE 2023-11-12 23:00:04.378690 |
| CVE-2022-1282 | 1.6.3 以前の Photo Gallery by 10Web WordPress プラグインは $_GET['image_url'] 変数を適切にサニタイズしておらず、editimage_bwg AJAX アクションを実行した際にユーザーに反映されるようになっています。 | 6.1 |
CVE 2023-11-12 09:00:07.892038 |
| CVE-2021-25086 | 6.1.2 以前の Advanced Page Visit Counter WordPress プラグインは、管理者用ダッシュボードページで出力する前に一部の入力をサニタイズおよびエスケープしないため、未認証の攻撃者がそれを閲覧する管理者に対してクロスサイトスクリプティング攻撃を実行することが可能です。 | 6.1 |
CVE 2023-11-12 03:00:06.401969 |
| CVE-2015-9320 | WordPress 2.5.4 以前の option-tree プラグインには、add_query_arg に関連する XSS が存在します。 | 6.1 |
CVE 2023-11-11 23:00:04.280348 |
| CVE-2021-24838 | 0.3.5 以前の AnyComment WordPress プラグインは、API エンドポイントが、最初に検証されることなく redirect パラメータを介して wp_redirect() 関数にユーザー入力を渡し、ベンダーによると Open Redirect 問題を引き起こします。 | 6.1 |
CVE 2023-11-11 09:00:06.702221 |
| CVE-2022-1192 | 1.0 までの Turn off all comments WordPress プラグインは、管理ページに出力する前に rows パラメータをサニタイズおよびエスケープしていないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-11-11 03:00:06.878373 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.