WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-11372 | Connexion Logs WordPressプラグイン3.0.2は、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができる。 | 7.2 |
CVE 2025-08-23 09:00:08.514364 |
| CVE-2024-11269 | 1.6までのAHAthat Plugin WordPressプラグインは、SQL文で使用する前にパラメータをサニタイズおよびエスケープしないため、AdminがSQLインジェクション攻撃を行うことができます。 | 7.2 |
CVE 2025-08-23 09:00:08.513805 |
| CVE-2024-11267 | 1.0までのJSP Store Locator WordPressプラグインは、SQL文で使用する前にパラメータをサニタイズおよびエスケープしないため、Contributorを持つユーザがSQLインジェクション攻撃を行うことができます。 | 8.8 |
CVE 2025-08-23 09:00:08.513267 |
| CVE-2024-11266 | 0.911までのGeocache Stat Bar Widget WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.512420 |
| CVE-2024-11221 | 1.1までのFull Screen (Page) Background Image Slideshow WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.511363 |
| CVE-2024-11190 | 4.1.7までのjwp-a11y WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.510781 |
| CVE-2024-11189 | 1.4.2より前のSocial Share And Social Locker WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)Stored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.510039 |
| CVE-2024-11141 | Sailthru Triggermail WordPress プラグイン 1.1 は、設定の一部をサニタイズおよびエスケープしておらず、CSRF 保護が欠落しているため、unfiltered_html 機能が許可されていない場合(マルチサイト設定など)でも、購読者が Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.509462 |
| CVE-2024-11140 | 2.0.8までのReal WP Shop Lite Ajax eCommerce Shopping Cart WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-08-23 09:00:08.508662 |
| CVE-2024-11109 | 15.6より前のWP Google Review Slider WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.507651 |
| CVE-2024-10818 | 1.1.3以前のJSFiddle Shortcode WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしません。このため、投稿者ロール以上のユーザが、保存されたクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.507047 |
| CVE-2024-10677 | 2.0.2までのBTEV WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、攻撃者がCSRF攻撃によってログインした管理者に設定を変更させる可能性がある。 | 4.3 |
CVE 2025-08-23 09:00:08.506258 |
| CVE-2024-10639 | 3.0.0より前のAuto Prune Posts WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも(マルチサイト設定などで)、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.505371 |
| CVE-2024-10634 | 1.4.0までのNokaut Offers Box WordPressプラグインは、その設定を更新する際にCSRFチェックが行われていないため、攻撃者はCSRF攻撃によってログインした管理者に1.4.0までのNokaut Offers Box WordPressプラグインをリセットさせることができます。 | 4.3 |
CVE 2025-08-23 09:00:08.504862 |
| CVE-2024-10632 | 1.4.0までのNokaut Offers Box WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高特権ユーザーにストアドクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.504316 |
| CVE-2024-10631 | 1.0.5までのCountdown Timer for WordPress Block Editor WordPressプラグインは、ブロックを埋め込むページ/投稿に出力する前に、ブロックオプションの一部を検証およびエスケープしません。 | 6.5 |
CVE 2025-08-23 09:00:08.503395 |
| CVE-2024-10504 | 1.7.1 より前の Contact Form, Survey, Quiz & Popup Form Builder WordPress プラグインは、ページ内でパラメータを出力する際にサニタイズとエスケープを行っておらず、認証されていないユーザがクロスサイトスクリプティング攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.502712 |
| CVE-2024-10475 | Responsive Contact Form Builder & Lead Generation Plugin 1.9.8 以前の WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を行える可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.501698 |
| CVE-2024-10362 | 2.9.1以前のWordPressプラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高特権ユーザーにストアドクロスサイトスクリプティング攻撃を許してしまう可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.501182 |
| CVE-2024-10149 | 2.2.9より前のSocial Slider Feed WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.500299 |
| CVE-2024-10145 | 1.34.4より前のHubbub Lite WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.499371 |
| CVE-2024-10144 | 3.2.22以前のRbs Image Gallery WordPressプラグインのPhoto Gallery, Images, Sliderは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、投稿者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.498677 |
| CVE-2024-10143 | 2.7.7より前のMB Custom Post Types & Custom Taxonomies WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.497862 |
| CVE-2024-10107 | 1.12.17より前のGiveaways and Contests by RafflePress WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.497279 |
| CVE-2024-10098 | 2.6.3より前のApplyOnline WordPressプラグインは、申請プロセス中にアップロードされたファイルを保護しないため、認証されていないユーザーがファイルや含まれる個人情報にアクセスできる。 | 2.7 |
CVE 2025-08-23 09:00:08.496751 |
| CVE-2024-10076 | 13.8以前のJetpack WordPressプラグイン、3.4.8以前のJetpack Boost WordPressプラグインは、画像URLをCDN対応に切り替える際にSite Accelerator機能で正規表現を使用しています。残念なことに、そのうちのいくつかは、本来はマッチしないパターンにマッチする可能性があり、最終的に投稿者以上のユーザがStored XSS攻撃を実行することを可能にしています。 | 5.9 |
CVE 2025-08-23 09:00:08.496160 |
| CVE-2024-10075 | 13.8 より前の Jetpack WordPress プラグインは、Contact Form によって作成された投稿が認証されたユーザーのみがアクセスできることを保証しておらず、認証されていないユーザーが任意のショートコードやブロックを実行できる可能性があります。 | 5.6 |
CVE 2025-08-23 09:00:08.494801 |
| CVE-2024-10054 | 1.26.3より前のHappyforms WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.493773 |
| CVE-2024-10009 | 2.1.0より前のMelapress File Monitor WordPressプラグインは、SQL文でパラメータを使用する前にパラメータをサニタイズおよびエスケープしないため、管理者がSQLインジェクション攻撃を行うことができます。 | 4.1 |
CVE 2025-08-23 09:00:08.493146 |
| CVE-2024-0970 | 4.1.4以前のこのUser Activity Tracking and Log WordPressプラグインは、潜在的に信頼されていないヘッダーからクライアントのIPアドレスを取得するため、攻撃者はその値を操作することができます。 | 7.5 |
CVE 2025-08-23 09:00:08.492530 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.