WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] (3471)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2022-27859 WordPress の Nicdark d.o.o. Travel Management プラグイン <= 2.0 に、複数の認証済み (投稿者またはそれ以上のユーザー ロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-13 03:00:06.351584
CVE-2022-29443 WordPress の Nicdark's Hotel Booking プラグイン <= 3.0 に、複数の認証済み (投稿者またはそれ以上のユーザーロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-12 09:00:07.219260
CVE-2022-29442 WordPress の Messages For WordPress <= 2.1.10 に、認証済み (subscriber またはそれ以上のユーザーロール) の Stored Cross-Site Scripting (XSS) 脆弱性があります。 5.4 CVE
2022-12-11 23:00:05.349406
CVE-2017-20056 weblizar User Login Log Plugin 2.2.1 に脆弱性が発見されました。問題ありとして分類されています。影響を受けるのは、未知の関数です。この操作により、基本的なクロスサイトスクリプティング(Stored)が行われます。リモートで攻撃を開始することが可能です。このエクスプロイトは一般に公開されており、使用される可能性があります。 5.4 CVE
2022-12-10 09:00:05.472062
CVE-2022-1776 2.1.8 以前の Popups, Welcome Bar, Optins and Lead Generation Plugin WordPress プラグインは、一部のキャンペーンパラメーターをサニタイズおよびエスケープしないため、コントリビューター程度のロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 5.4 CVE
2022-12-10 03:00:04.961694
CVE-2017-20054 XYZScripts Contact Form Manager Plugin に脆弱性が発見されました。このプラグインは問題があると評価されています。この問題の影響を受けるのは、いくつかの未知の機能です。この操作により、基本的なクロスサイトスクリプティングが行われます。この攻撃は、リモートで実行される可能性があります。このエクスプロイトは一般に公開されており、使用される可能性があります。 5.4 CVE
2022-12-09 09:00:08.924112
CVE-2021-38344 WordPress 用プラグイン Brizy Page Builder <= 2.3.11 には、購読者などの低特権ユーザーによる保存型 XSS の脆弱性が存在します。brizy_update_item AJAX アクション経由でページを更新するために送信されるリクエストを変更し、data パラメータに JavaScript を追加することで、悪意のある JavaScript をページに追加することが可能で、この JavaScript は投稿やページを閲覧またはプレビューする訪問者のセッションで実行されることになります。 5.4 CVE
2022-12-09 03:00:05.297520
CVE-2022-1626 1.4.1 までの Sharebar WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更させられる可能性があり、また、一部の設定でサニタイズとエスケープが行われていないため、Stored Cross-Site Scripting 問題が発生する可能性があります。 5.4 CVE
2022-12-08 23:00:04.736592
CVE-2022-1759 2.0.16 までの RB Internal Links WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更させられる可能性があり、またサニタイズとエスケープの不足により、保存型クロスサイトスクリプティング攻撃を実行させられる可能性があります。 5.4 CVE
2022-12-08 09:00:09.036607
CVE-2022-29440 WordPress の Promotion Slider プラグイン <= 3.3.4 に、複数の認証済み (投稿者またはそれ以上のユーザーロール) の保存型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-08 03:00:10.329514
CVE-2022-1780 3.4.10 までの LaTeX for WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 5.4 CVE
2022-12-07 23:00:10.506443
CVE-2022-1764 1.8 までの WP-chgFontSize WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更し、サニタイズとエスケープの不足により、Stored Cross-Site Scripting につながる可能性があります。 5.4 CVE
2022-12-07 09:00:03.998801
CVE-2022-1964 3.3.0 以前の Easy SVG Support WordPress プラグインは、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 5.4 CVE
2022-12-07 03:00:04.463985
CVE-2022-1757 2.70 以前のページバー WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、攻撃者がログインした管理者に CSRF 攻撃で設定を変更させることができる可能性があります。さらに、一部でサニタイズが行われていないため、Stored XSS の問題にもつながる可能性があります 5.4 CVE
2022-12-06 23:00:06.276535
CVE-2022-1792 Quick Subscribe WordPress プラグイン 1.7.1 は、設定の更新時に CSRF チェックを行わないため、CSRF 攻撃によりログインした管理者が設定を変更できる可能性があります。また、一部の設定でサニタイズとエスケープが行われていないため、Stored XSS につながる可能性があります。 5.4 CVE
2022-12-06 09:00:03.787747
CVE-2021-24822 7.0.4 以前の Stylish Cost Calculator WordPress プラグインは、AJAX アクションの一部に認証と CSRF チェックがないため(認証済みユーザーが利用可能)、購読者などの認証済みユーザーがそれらを呼び出して、ログインした管理者やフロントエンドユーザーに対して、一部のパラメーターにサニタイズとエスケープがないため、保存型クロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2022-12-06 09:00:03.786135
CVE-2022-1549 1.1.7 までの WP Athletics WordPress プラグインは、データベースに保存する前にパラメータをサニタイズせず、また管理ダッシュボードに出力する際に値をエスケープしないため、Stored Cross-Site Scripting 脆弱性が発生します。 5.4 CVE
2022-12-06 03:00:04.799688
CVE-2022-32280 Xakuro の XO Slider プラグイン <= 3.3.2 at WordPress に、認証済み (投稿者またはそれ以上のユーザーロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-05 23:00:05.349916
CVE-2022-2040 2.4.2 以前の Brizy WordPress プラグインは、一部の要素の URL をサニタイズおよびエスケープしないため、Contributor ほどの低いロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行する可能性があります。 5.4 CVE
2022-12-05 09:00:04.626788
CVE-2021-24543 jQuery Reply to Comment WordPress プラグイン 1.31 では、設定保存時の CSRF チェック、およびコメント出力前の 'Quote String' と 'Reply String' のサニタイズとエスケープを行っていないため、Stored Cross-Site Scripting 問題が発生します。 6.1 CVE
2022-12-05 09:00:04.623789
CVE-2021-24615 1.7までのWechat Reward WordPressプラグインは、QR設定のサニタイズやエスケープ、CSRFチェックが行われておらず、攻撃者はログインした管理者に設定を変更させ、クロスサイトスクリプティング攻撃を行うことが可能です。 5.4 CVE
2022-12-05 09:00:04.617971
CVE-2022-1557 ULeak Security & Monitoring WordPress プラグイン 1.2.3 は、設定の更新時に認証と CSRF チェックが行われず、またサニタイズとエスケープが一部欠けているため、購読者などの認証済みユーザーが、設定を閲覧する管理者に対して Stored Cross-Site Scripting 攻撃を行うことができる可能性があります。 5.4 CVE
2022-12-05 03:00:04.295402
CVE-2022-1506 1.0 までの WP Born Babies WordPress プラグインは、一部のフィールドをサニタイズおよびエスケープしていないため、コントリビューター程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2022-12-04 23:00:05.912490
CVE-2022-2041 2.4.2 以前の Brizy WordPress プラグインは、一部の要素コンテンツをサニタイズおよびエスケープしないため、Contributor ほどの低いロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行する可能性があります。 5.4 CVE
2022-12-04 09:00:04.037183
CVE-2022-29426 2J Slideshow Team の Slideshow, Image Slider by 2J プラグイン <= 1.3.54 at WordPress に、認証済み(投稿者以上のユーザーロール)の Reflected Cross-Site Scripting (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-04 03:00:06.494621
CVE-2022-1209 WordPress 用プラグイン Ultimate Member には、プロフィールページのソーシャルフィールドに入力された URL の検証が不十分なため、オープンリダイレクトの脆弱性があり、2.3.1 までのバージョンでは、攻撃者がユーザーのプロフィールページでソーシャルアイコンをクリックすると、疑わしくない被害者にリダイレクトすることが可能です。 5.4 CVE
2022-12-03 23:00:05.583914
CVE-2022-1051 Discy および Himer のコンパニオンプラグインとして使用されている 5.2 以前の WPQA Builder Plugin WordPress プラグインは、プロフィールページで出力する際に都市、電話、プロフィールの認証情報フィールドをサニタイズおよびエスケープしないため、認証済みの任意のユーザーがクロスサイトスクリプティング攻撃を実行することが可能です。 5.4 CVE
2022-12-03 09:00:04.024070
CVE-2022-29406 DynamicWebLab の WordPress Team Manager プラグイン <= 1.6.9 at WordPress に、複数の認証済み (投稿者またはそれ以上のユーザーロール) 保管型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 5.4 CVE
2022-12-02 09:00:03.927029
CVE-2022-1393 3.4.1 以前の WP Subtitle WordPress プラグインはサブタイトルフィールドを追加し、[wp_subtitle] で表示するためのショートコードを提供しています。サブタイトルはカスタム投稿メタとして "wps_subtitle" というキーで保存され、投稿の保存/更新時にサニタイズされますが、投稿メタの更新ボタンから直接(AJAX経由で)更新する際にはサニタイズされません。 5.4 CVE
2022-11-13 03:00:04.350849
CVE-2021-24703 1.6.1 以前の Download Plugin WordPress プラグインは、dpwap_plugin_activate AJAX アクションにケイパビリティおよび CSRF チェックがないため、購読者などの認証済みユーザーであれば、すでにインストールされているプラグインを有効にすることが可能です。 5.7 CVE
2022-11-13 03:00:04.349332
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] (3471)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.