WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-2158 | WordPress Review Plugin:WordPress Review Plugin: The Ultimate Solution for Building a Review Website プラグインは、5.3.5 までのすべてのバージョンにおいて、Post カスタムフィールドを経由したローカルファイルインクルード(Local File Inclusion)の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバ上の任意のファイルをインクルードして実行することが可能になり、それらのファイル内の任意の PHP コードの実行が可能になります。これは、PHP ファイルタイプをアップロードしてインクルードできる場合や、 register_argc_argv も有効になっているサーバで pearcmd が有効になっている場合に、 アクセス制御を回避したり、機密データを取得したり、コードを実行したりするために 使用することができます。 | 8.8 |
CVE 2025-08-18 09:00:04.161513 |
| CVE-2024-13345 | WordPress 用 Avada Builder プラグインは、3.11.13 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-18 03:00:06.000984 |
| CVE-2025-2944 | WordPress 用の Jeg Elementor Kit プラグインは、2.6.12 までのすべてのバージョンにおいて、ユーザー提供属性に対する入力サニタイズと出力エスケープが不十分なため、プラグインの Video Button と Countdown Widgets を介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-18 03:00:04.756028 |
| CVE-2024-13346 | Avada|WordPress 向け Website Builder & WooCommerce テーマは、7.11.13 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-17 23:00:32.846863 |
| CVE-2025-3794 | WPForms - Easy Form Builder for WordPress - Contact Forms, Payment Forms, Surveys, & More plugin for WordPress には、1.9.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、 start_timestamp パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-08-17 23:00:28.138095 |
| CVE-2025-4206 | WordPress CRM, Email & Marketing Automation for WordPress | Award Winner - Groundhogg plugin for WordPress には、4.1.1.2 までのすべてのバージョンにおいて、'process_export_delete' および 'process_import_delete' 関数におけるファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者がサーバ上の任意のファイルを削除することが可能であり、適切なファイル(wp-config.php など)が削除されると、容易にリモートでコードが実行される可能性があります。 | 7.2 |
CVE 2025-08-17 09:00:05.173112 |
| CVE-2025-3897 | WordPress 用 EUCookieLaw プラグインは、2.7.2 までのすべてのバージョンにおいて、'file_get_contents' 関数を介した任意のファイル読み込みの脆弱性があります。このため、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。この脆弱性は、W3 Total Cacheのようなキャッシュプラグインがインストールされ、有効化されている場合にのみ悪用されます。 | 5.9 |
CVE 2025-08-17 09:00:05.171739 |
| CVE-2025-4403 | WordPress 用 WooCommerce プラグイン Drag and Drop Multiple File Upload for WooCommerce は、1.1.6 までのすべてのバージョンにおいて、upload() 関数内で実際の拡張子や MIME チェックを行わずに、ユーザが指定した supported_type 文字列とアップロードされたファイル名を受け付けるため、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-08-17 09:00:05.170246 |
| CVE-2025-3949 | Website Builder by SeedProd - Theme Builder, Landing Page Builder, Coming Soon Page, Maintenance Mode plugin for WordPress は、6.18.15 までのすべてのバージョンにおいて、'seedprod_lite_get_revisisons' 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のランディングページのリビジョンの内容を読み取ることが可能になります。 | 4.3 |
CVE 2025-08-17 09:00:05.166900 |
| CVE-2024-13453 | PirateForms の WordPress 用プラグイン The Contact Form & SMTP Plugin for WordPress には、2.6.0 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-17 03:00:06.681029 |
| CVE-2025-3605 | WordPress 用の Frontend Login and Registration Blocks プラグインは、1.0.7 までのすべてのバージョンにおいて、 アカウント乗っ取りによる権限昇格の脆弱性があります。これは、flr_blocks_user_settings_handle_ajax_callback() 関数を使用して電子メールなどの詳細情報を更新する前に、プラグインがユーザの身元を適切に検証していないことが原因です。これにより、認証されていない攻撃者が管理者を含む任意のユーザのメールアドレスを変更し、ユーザのパスワードをリセットしてアカウントにアクセスすることが可能になります。 | 9.8 |
CVE 2025-08-17 03:00:06.472100 |
| CVE-2025-3455 | 1 Click WordPress Migration Plugin - 100% FREE for a limited time plugin for WordPress は、2.2 までのすべてのバージョンにおいて、'start_restore' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2025-08-17 03:00:06.471040 |
| CVE-2024-11617 | WordPress 用 Envolve プラグインは、1.0 までの全てのバージョンにおいて、'zetra_languageUpload' および 'zetra_fontsUpload' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-08-17 03:00:06.467810 |
| CVE-2025-3811 | WordPress 用 WPBookit プラグインは、1.0.2 までのすべてのバージョンにおいて、 アカウント乗っ取りによる権限昇格の脆弱性があります。これは、edit_newdata_customer_callback() 関数で電子メールなどの詳細情報を更新する前に、プラグインがユーザの身元を適切に検証しないためです。これにより、認証されていない攻撃者は、管理者を含む任意のユーザのメールアドレスを変更し、ユーザのパスワードをリセットしてアカウントにアクセスすることが可能になります。 | 9.8 |
CVE 2025-08-17 03:00:06.467071 |
| CVE-2025-3810 | WordPress 用 WPBookit プラグインは、1.0.2 までのすべてのバージョンにおいて、 アカウント乗っ取りによる権限昇格の脆弱性があります。これは、edit_profile_data() 関数を通してパスワードや電子メールなどの詳細情報を更新する前に、プラグインがユーザの身元を適切に検証しないことに起因します。このため、認証されていない攻撃者は、管理者を含む任意のユーザのメールアドレスとパスワードを変更し、そのアカウントにアクセスすることが可能です。 | 9.8 |
CVE 2025-08-17 03:00:06.464118 |
| CVE-2025-1510 | WordPress 用 Custom Post Type Date Archives プラグインは、2.7.1 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-16 09:00:08.877829 |
| CVE-2025-4208 | WordPress 用プラグイン NEX-Forms - Ultimate Form Builder - Contact forms and much more には、8.9.1 までのすべてのバージョンにおいて、 get_table_records 関数を経由した制限付きコード実行の脆弱性があります。これは、call_user_func() において、ユーザが提供した入力をサニタイズせずに使用していることが原因です。これにより、Custom レベルのアクセス権を持つ認証済みの攻撃者が、 特定の制約 (静的メソッドまたは単一の配列パラメータを受け付けるグローバル関数) を満たす任意の PHP 関数を実行することが可能となります。 | 6.3 |
CVE 2025-08-16 09:00:05.285847 |
| CVE-2025-3862 | WordPress 用 Contest Gallery プラグインは、入力のサニタイズと出力のエスケープが不十分なため、26.0.6 までのすべてのバージョンにおいて、'id' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-16 09:00:05.284929 |
| CVE-2025-3468 | WordPress 用プラグイン NEX-Forms - Ultimate Form Builder - Contact forms and much more には、入力のサニタイズと出力のエスケープが不十分なため、8.9.1 までのすべてのバージョンにおいて、clean_html および form_fields パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Custom レベルのアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-16 09:00:05.283679 |
| CVE-2025-2806 | Newspaperテーマで使用されているWordPress用のtagDiv Composerプラグインは、入力のサニタイズと出力のエスケープが不十分なため、5.3までのすべてのバージョンにおいて、'data'パラメータを経由したReflected Cross-Site Scriptingの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-08-16 09:00:05.275751 |
| CVE-2024-13487 | The CURCY - Multi Currency for WooCommerce - The best free currency exchange plugin - Run smoothly on WooCommerce 9.x plugin for WordPress is vulnerable to arbitrary shortcode execution via the get_products_price() function in all versions up to and including, 2.2.5.これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-16 03:00:06.406895 |
| CVE-2025-4127 | WordPress 用 WP SEO Structured Data Schema プラグインは、2.7.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'Price Range' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、管理者がプラグインの設定ページにアクセスするたびに実行される任意のウェブスクリプトを注入することが可能になります。 | 6.4 |
CVE 2025-08-16 03:00:06.248911 |
| CVE-2025-3419 | Event Manager, Events Calendar, Tickets, Registrations - Eventin plugin for WordPress は、4.0.26 までのすべてのバージョンにおいて、proxy_image() 関数を経由して任意のファイルを読み取られる脆弱性があります。これにより、認証されていない攻撃者がサーバ上の任意のファイルの内容を読み取ることが可能となり、機密情報を含む可能性があります。 | 7.5 |
CVE 2025-08-16 03:00:06.247780 |
| CVE-2024-10633 | WordPress 用の Quiz Maker Business、Developer、Agency プラグインは、8.8.0 (Business) まで、21.8.0 (Developer) まで、31.8.0 (Agency) を含むすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可していることが原因です。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-15 23:00:07.711678 |
| CVE-2024-13792 | WordPress 用 WooCommerce Food - Restaurant Menu & Food ordering プラグインは、3.3.2 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-15 09:00:27.839996 |
| CVE-2025-4104 | WordPress の Frontend Dashboard プラグインは、バージョン 1.0 から 2.2.6 までの、 fed_wp_ajax_fed_login_form_post() 関数の機能チェックの欠落により、 特権昇格の脆弱性があります。これにより、認証されていない攻撃者が管理者の電子メールとパスワードをリセットし、管理者の権限に昇格することが可能になります。 | 9.8 |
CVE 2025-08-15 09:00:11.662991 |
| CVE-2024-13499 | The GamiPress - Gamification plugin to reward points, achievements, badges & ranks in WordPress plugin for WordPress は、7.2.1 までのすべてのバージョンにおいて、 gamipress_do_shortcode() 関数を経由して任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-08-15 03:00:14.666940 |
| CVE-2025-4171 | WZ Followed Posts - Display what visitors are reading plugin for WordPress は、3.1.0 までのすべてのバージョンにおいて、プラグインの 'wfp' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-08-15 03:00:12.343169 |
| CVE-2024-12120 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.7.1017 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、カウントダウンウィジェットの display_message_text パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-08-15 03:00:12.342152 |
| CVE-2025-3766 | WordPress 用 Login Lockdown & Protection プラグインは、2.11 までのすべてのバージョンで ajax_run_tool 関数の機能チェックが欠落しているため、不正な nonce アクセスを受ける脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、グローバルなロック解除キーの生成に使用できる有効な nonce を取得することが可能で、この nonce を使用して任意の IP アドレスをプラグインの許可リストに追加することができます。これは、サイト管理者がまだloginlockdownページにアクセスしていない新規インストールでのみ悪用可能です。 | 5.4 |
CVE 2025-08-15 03:00:12.341159 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.