WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] (5901)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-2654 WordPress 用 File Manager プラグインは、7.2.5 までのすべてのバージョンにおいて、fm_download_backup 関数を経由したディレクトリトラバーサルの脆弱性があります。これにより、管理者以上のアクセス権を持つ認証された攻撃者が、サーバ上の任意の zip ファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 6.8 CVE
2024-07-18 09:00:05.119857
CVE-2024-2650 Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPressは、5.9.10までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Woo Product Carouselウィジェットのalignmentパラメータを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.119185
CVE-2024-2623 Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、カウントダウンウィジェットのメッセージパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.118517
CVE-2024-2543 WordPress 用の Permalink Manager Lite プラグインは、2.4.3.1 までのすべてのバージョンにおいて、'get_uri_editor' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がすべての投稿のパーマリンクを閲覧することが可能になります。 4.3 CVE
2024-07-18 09:00:05.117867
CVE-2024-2536 WordPress 用プラグイン Rank Math SEO with AI SEO Tools は、1.0.214 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、HowTo ブロック属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.117215
CVE-2024-2513 WordPress 用 WP Chat App プラグインは、3.6.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'imageAlt' ブロック属性を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.116544
CVE-2024-2507 WordPress 用 JetWidgets For Elementor プラグインは、1.0.16 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ウィジェットボタン URL を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.115893
CVE-2024-2504 ページビルダーPagelayer - Drag and Drop website builder plugin for WordPress は、1.8.4 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'attr' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.115300
CVE-2024-2501 Hubbub Lite - Fast, Reliable Social Sharing Buttons plugin for WordPress には、1.33.1 までのすべてのバージョンにおいて、'dpsp_maybe_unserialize' 関数による信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、contributor アクセス以上の認証済みの攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱なプラグインには POP チェーンが存在しません。対象のシステムにインストールされた追加のプラグインやテーマを通じて POP チェーンが存在する場合、攻撃者に任意のファイルの削除や機密データの取得、コードの実行を許してしまう可能性があります。 7.5 CVE
2024-07-18 09:00:05.114711
CVE-2024-2492 WordPress 用 PowerPack Addons for Elementor プラグインには、2.7.18 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Twitter のツイートウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入し、ユーザーが注入されたページにアクセスするたびに実行することが可能になります。 6.4 CVE
2024-07-18 09:00:05.114122
CVE-2024-2457 WordPress 用の Modal Window - create popup modal window プラグインは、5.3.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.113517
CVE-2024-2456 WordPress 用の Ecwid Ecommerce Shopping Cart プラグインは、6.12.10 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.112918
CVE-2024-2436 WordPress 用 Lightweight Accordion プラグインは、1.5.16 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.112397
CVE-2024-2423 UsersWP - Front-end login form, User Registration, User Profile & Members Directory plugin for WordPress plugin for WordPress には、1.2.6 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.111858
CVE-2024-2348 WordPress 用 Gum Elementor Addon プラグインには、1.3.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Post Meta ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.111320
CVE-2024-2347 WordPress 用の Astra テーマは、4.6.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ユーザの表示名を経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.110781
CVE-2024-2344 WordPress 用の Avada テーマは、7.11.6 までのすべてのバージョンにおいて、'entry' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、エディタレベル以上のアクセス権を持つ、認証された攻撃者は、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能です。 7.2 CVE
2024-07-18 09:00:05.110256
CVE-2024-2343 Avada | Website Builder For WordPress & WooCommerce theme for WordPress には、7.11.6 までのすべてのバージョンにおいて、form_to_url_action 関数を経由した Server-Side Request Forgery の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に使用される可能性があります。 6.4 CVE
2024-07-18 09:00:05.109702
CVE-2024-2342 WordPress 用 Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin プラグインは、1.6.7.7 までのすべてのバージョンにおいて、customer_id パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 8.8 CVE
2024-07-18 09:00:05.109123
CVE-2024-2341 WordPress 用 Appointment Booking Calendar - Simply Schedule Appointments Booking Plugin プラグインは、1.6.7.7 までの全てのバージョンにおいて、keys パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを既存のクエリに追加することが可能になります。 8.8 CVE
2024-07-18 09:00:05.108515
CVE-2024-2340 WordPress 用の Avada テーマには、7.11.6 までのすべてのバージョンにおいて、「/wp-content/uploads/fusion-forms/」 ディレクトリを経由した機密情報暴露の脆弱性があります。これにより、認証されていない攻撃者が、ファイルアップロードメカニズムで作成された Avada フォーム経由でアップロードされた機密データを抽出することが可能になります。 5.3 CVE
2024-07-18 09:00:05.107853
CVE-2024-2336 Popup Maker - Popup for opt-ins, lead gen, & more plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the plugin's shortcode(s) in all versions up to and including, because insufficient input sanitization and output escaping on user supplied attributes.これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.107090
CVE-2024-2335 WordPress 用 Elements Plus! プラグインには、2.16.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、複数のウィジェットリンク URL を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.106388
CVE-2024-2334 WordPress 用 Template Kit - Import プラグインは、1.0.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、テンプレートのアップロード機能を経由した Stored Cross-Site Scripting の脆弱性があります。このため、作者以上のアクセス権を持つ認証済みの攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.105712
CVE-2024-2327 WordPress 用 Global Elementor Buttons プラグインは、1.1.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ボタンリンク URL を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.105043
CVE-2024-2325 WordPress 用 Link Library プラグインは、7.6.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、searchll パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 6.1 CVE
2024-07-18 09:00:05.104443
CVE-2024-2311 WordPress 用の Avada テーマは、7.11.6 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインのショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.103865
CVE-2024-2306 WordPress 用の Revslider プラグインは、6.6.20 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、svg アップロード経由の Stored クロスサイトスクリプティングの脆弱性があります。これにより、認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。デフォルトでは、これは管理者のみが悪用可能ですが、revslider の使用と設定の能力を作者に拡張することができます。 6.4 CVE
2024-07-18 09:00:05.103249
CVE-2024-2305 WordPress 用 Cards for Beaver Builder プラグインは、1.1.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、BootstrapCard リンクを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2024-07-18 09:00:05.102525
CVE-2024-2302 WordPress 用 Easy Digital Downloads - Sell Digital Files & Subscriptions (eCommerce Store + Payments Made Easy) プラグインは、3.2.9 までのすべてのバージョンにおいて、機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が Directory Listing 経由でデバッグログをダウンロードすることが可能になります。このファイルには PII が含まれている可能性があります。 5.3 CVE
2024-07-18 09:00:05.101893
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] (5901)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.