WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11564 | Tutor LMS - WordPress 用 e ラーニングおよびオンラインコースソリューションプラグインは、"verifyAndCreateOrderData" 関数でウェブフックの署名を検証する際の機能チェックが欠落しているため、データが不正に変更される脆弱性があります。 のウェブフック署名を検証する際のケイパビリティチェックが欠落しています。このため、認証されていない攻撃者は、`payment_type` を 'recurring' に設定した偽造 Webhook リクエストを送信することで、支払い検証を回避し、注文を支払い済みとしてマークすることが可能です。 | 5.3 |
CVE 2026-02-02 03:00:05.487038 |
| CVE-2025-11269 | WordPress 用の Product Filter by WBW プラグインは、3.0.0 までのすべてのバージョンにおいて、'approveNotice' アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。 このため、認証されていない攻撃者がプラグインの設定を更新することが可能です。 | 5.3 |
CVE 2026-02-02 03:00:05.486112 |
| CVE-2025-11244 | WordPress 用 Password Protected プラグインは、2.7.11 までのすべてのバージョンにおいて、IP アドレスのなりすましによる認証バイパスに対して脆弱です。これは、"Use transients" 機能が有効になっているときに、`pp_get_ip_address()` 関数でユーザの IP アドレスを決定するために、プラグインがクライアント制御の HTTP ヘッダ(X-Forwarded-For、HTTP_CLIENT_IP、および同様のヘッダなど)を信頼するためです。このため、"Use transients" オプションが有効で (デフォルト以外の設定)、かつサイトがこれらのヘッダを上書きする CDN やリバースプロキシの背後にない場合、攻撃者はこれらのヘッダを正規に認証されたユーザの IP アドレスに偽装することで、認証をバイパスすることができます。 | 3.7 |
CVE 2026-02-02 03:00:05.485206 |
| CVE-2025-11238 | WordPress 用 Watu Quiz プラグインは、3.4.4 以下のバージョンにおいて、"Save source URL" オプションを有効にした際の入力サニタイズと出力エスケープが不十分なため、HTTP Referer ヘッダを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2026-02-02 03:00:05.484511 |
| CVE-2025-10737 | WordPress 用のオープンソース Genesis Framework テーマには、3.6.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、テーマのショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-02 03:00:05.483118 |
| CVE-2025-10694 | User Feedback - Create Interactive Feedback Form, User Surveys, and Polls in Seconds for WordPress プラグインは、1.8.0 までのすべてのバージョンにおいて、 `maybe_load_onboarding_wizard` 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がオンボーディングウィザードページにアクセスし、管理者メールアドレスを含む設定情報を閲覧することが可能になります。 | 5.3 |
CVE 2026-02-02 03:00:05.482119 |
| CVE-2025-11823 | ShopLentor - WooCommerce Builder for Elementor & Gutenberg +21 Modules - All in One Solution plugin for WordPress は、入力のサニタイズと出力のエスケープが不十分なため、3.2.4 までのすべてのバージョンにおいて、'wishsuite_button' ショートコードの 'button_exist_text' パラメータを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-02 03:00:05.481167 |
| CVE-2025-10579 | WordPress用プラグインBackWPup - WordPress Backup & Restore Pluginは、5.5.0までのすべてのバージョンにおいて、'backwpup_working' AJAXアクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ認証済みの攻撃者が、バックアップの実行中にバックアップのファイル名へのアクセスを取得することが可能になります。この情報自体にはほとんど価値はありませんが、限られた環境(NGINXなど)でバックアップの内容を取得するための総当たり攻撃に使用できる可能性があります。 | 5.3 |
CVE 2026-02-02 03:00:05.471767 |
| CVE-2025-11760 | eRoom - Webinar & Meeting Plugin for Zoom, Google Meet, Microsoft Teams plugin for WordPress には、1.5.6 までのすべてのバージョンにおいて、機密情報が漏洩する脆弱性があります。これは、このプラグインが会議ビューテンプレート内のクライアントサイドJavaScriptでZoom SDKのシークレットキーを公開していることが原因です。これにより、認証されていない攻撃者が、サーバー側に残すべき sdk_secret 値を抽出することが可能となり、Zoom 統合のセキュリティが損なわれ、攻撃者が不正な会議アクセスのために有効な JWT シグネチャを生成できるようになります。 | 5.3 |
CVE 2026-02-01 23:00:09.388542 |
| CVE-2025-11576 | AI Chatbot Free Models - Customer Support, Live Chat, Virtual Assistant plugin for WordPress には、1.6.5 までのすべてのバージョンにおいて CSV インジェクションの脆弱性があります。これは 'newcodebyte_chatbot_export_messages' 関数のサニタイズが不十分なためです。これにより、認証されていない攻撃者が、エクスポートされた CSV ファイルに信頼されていない入力を埋め込むことが可能となり、これらのファイルがダウンロードされ、脆弱な設定を持つローカルシステムで開かれた場合、コードが実行される可能性があります。 | 4.3 |
CVE 2026-02-01 09:00:13.243577 |
| CVE-2025-10861 | WordPress 用 Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers プラグインは、2.1.4 までのすべてのバージョンにおいて Server-Side Request Forgery の脆弱性があります。これは URL パラメータで提供される URL のバリデーションが不十分なためです。これにより、認証されていない攻撃者がウェブアプリケーションを起点として任意の場所にウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更、ネットワーク偵察に利用される可能性があります。この脆弱性はバージョン 2.1.4 で部分的に修正されました。 | 7.5 |
CVE 2026-02-01 09:00:13.242199 |
| CVE-2025-12136 | リアルクッキーバナー:WordPress 用の GDPR & ePrivacy Cookie Consent プラグインは、5.2.4 までのすべてのバージョンにおいて Server-Side Request Forgery の脆弱性があります。これは、'/scanner/scan-without-login' REST API エンドポイントでユーザーが提供する URL の検証が不十分なためです。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点として任意の場所にウェブリクエストを行うことが可能になり、`url`パラメータを介して内部サービスの情報を照会および変更するために使用される可能性があります。 | 6.8 |
CVE 2026-02-01 09:00:13.241265 |
| CVE-2025-12134 | ZoloBlocks - Gutenberg Block Editor Plugin with Advanced Blocks, Dynamic Content, Templates & Patterns plugin for WordPress は、2.3.11 までのすべてのバージョンにおいて、update_popup_status() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者がポップアップを有効/無効にできる可能性があります。 | 5.3 |
CVE 2026-02-01 09:00:13.235142 |
| CVE-2025-12096 | WordPress 用 WooCommerce プラグイン Simple Excel Pricelist for WooCommerce には、1.13 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'pricelist' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビュータ・レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブ・スクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-02-01 09:00:13.234331 |
| CVE-2025-12072 | WordPress 用 Disable Content Editor For Specific Template プラグインは、2.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、テンプレート設定の更新における nonce 検証の欠落によるものです。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するよう管理者をだますことができる、偽造されたリクエストを使用して、テンプレートの設定を追加または削除することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.233744 |
| CVE-2025-12028 | WordPress 用 IndieAuth プラグインには、4.5.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは `login_form_indieauth()` 関数と wp-login.php?action=indieauth の認可エンドポイントにおける nonce 検証の欠落によるものです。このため、認証されていない攻撃者は、攻撃者が管理するアプリケーションの OAuth 認証リクエストを認証済みユーザに承認させるために、ログイン中にリンクをクリックしたり、悪意のあるページにアクセスしたりといったアクションを実行するようにユーザを騙すことができます。攻撃者は、盗んだ認証コードをアクセストークンと交換することで、付与されたスコープ(作成、更新、削除)で被害者のアカウントを効果的に乗っ取ることができます。 | 8.8 |
CVE 2026-02-01 09:00:13.232775 |
| CVE-2025-12017 | VNPAY Payment gateway plugin for WordPress は、1.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'message' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-02-01 09:00:13.231677 |
| CVE-2025-12016 | WordPress 用 qnotsquiz プラグインは、1.0.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'qnotsquiz_custom_start_text' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されるようになります。この問題は、マルチサイトのインストールおよび unfiltered_html が無効になっているインストールにのみ影響します。 | 4.4 |
CVE 2026-02-01 09:00:13.230707 |
| CVE-2025-12014 | WordPress 用 NGINX Cache Optimizer プラグインは、1.1 までのすべてのバージョンにおいて、'nginxcacheoptimizer-blacklist-update' AJAX アクションの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、動的キャッシュからURLを除外する設定にURLを追加することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.229767 |
| CVE-2025-11992 | WordPress 用 Multi Item Responsive Slider プラグインには、1.0 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'mioptions.php' ページでの nonce バリデーションが欠けているか、正しくないことが原因です。これにより、認証されていない攻撃者が設定を更新し、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2026-02-01 09:00:13.229096 |
| CVE-2025-11889 | WordPress 用 AIO Forms - Craft Complex Forms Easily プラグインは、1.3.15 までのすべてのバージョンにおいて、インポート機能のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-02-01 09:00:13.228113 |
| CVE-2025-11887 | WordPress 用 Supervisor プラグインは、1.3.2 までのすべてのバージョンにおいて、いくつかの AJAX 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインの各種設定を更新することが可能です。 | 4.3 |
CVE 2026-02-01 09:00:13.227540 |
| CVE-2025-11504 | WordPress 用プラグイン Quickcreator - AI Blog Writer には、バージョン 0.0.9 から 0.1.17 において、/wp-content/plugins/quickcreator/dupasrala.txt ファイルを介した機密情報漏洩の脆弱性があります。このため、認証されていない攻撃者がプラグインの API キーを閲覧し、そのキーを使ってサイト上で新しい投稿を作成したり XSS ペイロードを注入したりといったアクションを実行することが可能です。 | 7.5 |
CVE 2026-02-01 09:00:13.226634 |
| CVE-2025-11257 | WordPress 用 LLM Hubspot Blog Import プラグインは、1.0.1 までのすべてのバージョンにおいて、'process_save_blogs' AJAX エンドポイントの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、すべてのハブスポットデータのインポートをトリガーすることが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.225686 |
| CVE-2025-11172 | WordPress 用の Check Plagiarism プラグインは、2.0 までのすべてのバージョンにおいて、chk_plag_mine_plugin_wpse10500_admin_action() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者が API キーを更新することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.224808 |
| CVE-2025-10902 | WordPress用のOriginality.ai AI Checkerプラグインは、1.0.12までのすべてのバージョンにおいて、'ai_scan_result_remove'関数の機能チェックが欠落しているため、不正にデータを失う脆弱性があります。これにより、Subscriberレベル以上のアクセス権を持つ認証済みの攻撃者が、wp_originalityai_logデータベーステーブル内のすべてのデータを削除することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.223873 |
| CVE-2025-10901 | WordPress用のOriginality.ai AI Checkerプラグインは、1.0.12までのすべてのバージョンにおいて、'ai_get_table'関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、wp_originality_ai_log データベーステーブル内のすべてのデータを読み取ることが可能であり、これには投稿タイトル、スキャンスコア、使用クレジット、およびその他のデータが含まれる可能性があります。 | 4.3 |
CVE 2026-02-01 09:00:13.221425 |
| CVE-2025-10749 | WordPress 用 Microsoft Azure Storage for WordPress プラグインには、4.5.1 までのすべてのバージョンにおいて、Unauthorized Arbitrary Media Deletion の脆弱性があります。これは、'azure-storage-media-replace' AJAX アクションの機能チェックの欠落によるものです。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、すべての認証済みユーザに公開されている nonce にアクセスすることで、replace_attachment パラメータを介して WordPress メディアライブラリから任意のメディアファイルを削除することが可能になります。 | 5.4 |
CVE 2026-02-01 09:00:13.220205 |
| CVE-2025-10748 | WordPress 用 RapidResult プラグインは、1.2 までのすべてのバージョンにおいて、's' パラメータを介した SQL インジェクションの脆弱性があります。これは、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないことが原因です。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2026-02-01 09:00:13.219176 |
| CVE-2025-10740 | WordPress 用 URL Shortener Plugin For WordPress プラグインは、3.0.7 までのすべてのバージョンにおいて verifyRequest 関数の機能チェックが欠落しているため、API によって提供される機能への不正アクセスの脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がリンクを変更することが可能になります。 | 6.3 |
CVE 2026-02-01 09:00:13.218223 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.