WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-3991 | WordPress用プラグイン ShopLentor - WooCommerce Builder for Elementor & Gutenberg +12 Modules - All in One Solution (旧WooLentor) は、2.8.7までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、Horizontal Product Filterの_id属性を介したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528749 |
| CVE-2024-3985 | Exclusive Addons for Elementor plugin for WordPress は、2.6.9.3 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Call to Action ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.528220 |
| CVE-2024-3942 | MasterStudy LMS WordPress Plugin - for Online Courses and Education plugin for WordPress には、3.3.8 までのバージョンにおいて、いくつかの機能のチェックが欠落しているため、不正アクセス、改ざん、およびデータの損失が発生する脆弱性があります。これにより、サブスクライバレベル以上の権限を持つ認証済みの攻撃者が、コースの質問、投稿タイトル、タクソノミーなどのコンテンツを読み取り、変更することが可能になります。 | 6.3 |
CVE 2024-08-10 09:00:05.527669 |
| CVE-2024-3936 | The Post Grid - Shortcode, Gutenberg Blocks and Elementor Addon for Post Grid plugin for WordPress は、7.6.1 までのすべてのバージョンにおいて、rtTPGSaveSettings 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバアクセス以上の認証された攻撃者が、プラグインの設定を変更したり、AJAXアクションによってフックされた他の機能を呼び出したりすることが可能になります。 | 4.3 |
CVE 2024-08-10 09:00:05.527132 |
| CVE-2024-3897 | Popup Box - Best WordPress Popup Plugin プラグインは、4.3.6 までのすべてのバージョンにおいて ays_pb_create_author AJAX アクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がウェブサイトに登録されているすべての電子メールを列挙することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.526536 |
| CVE-2024-3895 | WordPress 用 WP Datepicker プラグインは、2.1.0 までのすべてのバージョンにおいて、 wpdp_add_new_datepicker_ajax() 関数の機能チェックが欠落しているため、 データが不正に変更される脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、権限の昇格に使用可能な任意のオプションを更新することが可能となります。この問題は、2.0.9 および 2.1.0 で部分的に修正され、2.1.1 で完全に修正されました。 | 8.8 |
CVE 2024-08-10 09:00:05.525655 |
| CVE-2024-3891 | WordPress 用 Elementor プラグイン Happy Addons には、3.10.5 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ウィジェットの HTML タグを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.525140 |
| CVE-2024-3885 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、subcontainer の値パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.524559 |
| CVE-2024-3870 | WordPress 用プラグイン Contact Form 7 Database Addon - CFDB7 には、1.2.6.8 までのバージョンにおいて cfdb7_before_send_mail 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、ユーザーによってアップロードされたファイルから、個人を特定できる情報などの機密データを抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.523936 |
| CVE-2024-3849 | WordPress 用の Click to Chat - HoliThemes プラグインは、3.35 までのすべてのバージョンにおいて、ローカルファイル包含の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能となり、それらのファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 画像やその他の「安全な」ファイル形式をアップロードしてインクルードしたり する場合にコードの実行を可能にします。 | 8.8 |
CVE 2024-08-10 09:00:05.523349 |
| CVE-2024-3819 | WordPress 用の Jeg Elementor Kit プラグインは、2.6.4 までのすべてのバージョンにおいて、ユーザー提供属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの JKit - Banner ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。 | 6.4 |
CVE 2024-08-10 09:00:05.522841 |
| CVE-2024-3747 | WordPress 用の Blocksy テーマには、2.0.39 までのすべてのバージョンにおいて、 入力サニタイズと出力エスケープが不十分なため、About Me ブロックの className パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューター以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.522341 |
| CVE-2024-3743 | WordPress 用 Elementor Addon Elements プラグインは、1.13.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Image Stack Group、Shape Separator、Content Switcher、Info Circle、および Timeline ウィジェットを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータ以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入し、ユーザーが注入されたページにアクセスするたびに実行することが可能になります。 | 6.4 |
CVE 2024-08-10 09:00:05.521800 |
| CVE-2024-3729 | WordPress 用プラグイン Frontend Admin by DynamiApps には、3.19.4 までのすべてのバージョンにおいて、'fea_encrypt' 関数の暗号化例外処理が不適切であるという脆弱性があります。このため、認証されていない攻撃者が、権限昇格のために管理者ユーザーを追加・編集したり、認証回避のためにユーザーを自動的にログインさせたり、任意のウェブスクリプトを注入するために使用可能な投稿処理フォームを操作することが可能です。この問題を悪用できるのは、'openssl' php 拡張がサーバにロードされていない場合のみである。 | 9.8 |
CVE 2024-08-10 09:00:05.521264 |
| CVE-2024-3728 | Essential Addons for Elementor - Best Elementor Templates, Widgets, Kits & WooCommerce Builders plugin for WordPress は、5.9.15 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分であるため、プラグインのフィルタブルギャラリーとインタラクティブサークルウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.520664 |
| CVE-2024-3725 | Otter Blocks - Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE plugin for WordPress は、2.6.9 までのすべてのバージョンにおいて、'titleTag' のようなユーザが指定した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Post Grid ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.520101 |
| CVE-2024-3724 | WordPress用プラグインHappy Addons for Elementorは、3.10.4までのすべてのバージョンにおいて、入力のサニタイズおよびユーザが提供した属性の出力エスケープが不十分なため、プラグインのImage Stack Group、Photo Stack、およびHorizontal Timelineウィジェットを経由したStored Cross-Site Scriptingの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.519492 |
| CVE-2024-3717 | WordPress 用 Drag and Drop Multiple File Upload - Contact Form 7 プラグインには、1.3.7.7 までのすべてのバージョンにおいて、'/wp-content/uploads/wp_dndcf7_uploads/wpcf7-files' ディレクトリを経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、フォームを通じてこのプラグイン経由でアップロードされた機密データを抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.518528 |
| CVE-2024-3715 | WordPress 用の Contact Form 7, WPforms, Elementor フォームプラグインのデータベースには、1.3.8 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2024-08-10 09:00:05.517893 |
| CVE-2024-3681 | WordPress 用 Interactive World Maps プラグインは、2.4.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、search (s) パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、任意のウェブスクリプトをページ内に注入して実行することが可能になります。 | 6.1 |
CVE 2024-08-10 09:00:05.517058 |
| CVE-2024-3677 | WordPress 用の Ultimate 410 Gone Status Code プラグインは、1.1.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、410 エントリを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.516148 |
| CVE-2024-3675 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.3.971 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Flip Carousel、Flip Box、Post Grid、および Taxonomy List ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のWebスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.515585 |
| CVE-2024-3674 | WordPress 用の Inline Google Spreadsheet Viewer プラグインは、0.13.2 までのすべてのバージョンにおいて、'chart_resolution' のようなユーザが指定した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'gdoc' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.514672 |
| CVE-2024-3670 | WordPress 用の Leaflet Maps Marker (Google Maps, OpenStreetMap, Bing Maps) プラグインは、3.12.8 までのすべてのバージョンにおいて、'mapwidthunit' のようなユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mapsmarker' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.513763 |
| CVE-2024-3650 | ElementsKit Elementor addons plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、バージョン 3.0.7 から 3.1.2 のすべてにおいて、Image Accordion ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2024-08-10 09:00:05.513254 |
| CVE-2024-3649 | Contact Form by WPForms - Drag & Drop Form Builder for WordPress プラグインは 1.8.7.2 までのバージョンにおいて価格操作の脆弱性があります。これはいくつかの商品パラメータにコントロールがないためです。これにより、認証されていない攻撃者が Stripe 支払い統合経由で購入した商品の価格、商品情報、数量を操作することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.512696 |
| CVE-2024-3647 | WordPress 用 Elementor プラグイン Premium Addons には、4.10.28 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの投稿ティッカーウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題を悪用するには、プラグインのプレミアムバージョンをインストールして有効化する必要があります。 | 6.4 |
CVE 2024-08-10 09:00:05.512130 |
| CVE-2024-3607 | WordPress 用 PropertyHive プラグインは、2.0.12 までのすべてのバージョンにおいて delete_key_date() 関数の機能チェックが欠落しているため、不正にデータを失う脆弱性があります。このため、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意の投稿を削除することが可能です。 | 4.3 |
CVE 2024-08-10 09:00:05.511644 |
| CVE-2024-3606 | WordPress 用 ProfileGrid - User Profiles, Memberships, Groups and Communities プラグインは、5.8.3 までのすべてのバージョンにおいて pm_upload_cover_image 関数の機能チェックが欠落しているため、データを不正に削除される脆弱性があります。このため、サブスクライバ以上のアクセス権を持つ認証済みの攻撃者が添付ファイルを削除することが可能です。 | 4.3 |
CVE 2024-08-10 09:00:05.511139 |
| CVE-2024-3601 | Poll Maker - Best WordPress Poll Plugin プラグインは、5.1.8 までのすべてのバージョンで ays_poll_create_author 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がメールアドレスを1文字ずつ列挙して抽出することが可能になります。 | 5.3 |
CVE 2024-08-10 09:00:05.510599 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.