WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1818 | 2.6 までの Multi-page Toolkit WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更し、サニタイズとエスケープの不足により Stored Cross-Site Scripting につながる可能性があります。 | 5.4 |
CVE 2022-12-13 23:00:06.316177 |
| CVE-2022-1208 | WordPress 用プラグイン Ultimate Member は、入力のサニタイズと出力のエスケープが不十分なため、ユーザーが悪意のあるウェブスクリプトを HTML エンコードしてページに反映させることができ、ユーザー個人のプロフィールページにある Biography フィールドを介して Stored Cross-Site Scripting を受ける可能性があります。この問題は、2.3.2 までのバージョンに影響します。この問題は、バージョン 2.3.2 で部分的に修正され、その後、バージョン 2.3.3 で完全に修正されましたので、ご注意ください。 | 5.4 |
CVE 2022-12-13 09:00:04.700306 |
| CVE-2022-27859 | WordPress の Nicdark d.o.o. Travel Management プラグイン <= 2.0 に、複数の認証済み (投稿者またはそれ以上のユーザー ロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-13 03:00:06.351584 |
| CVE-2022-29443 | WordPress の Nicdark's Hotel Booking プラグイン <= 3.0 に、複数の認証済み (投稿者またはそれ以上のユーザーロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-12 09:00:07.219260 |
| CVE-2022-29442 | WordPress の Messages For WordPress <= 2.1.10 に、認証済み (subscriber またはそれ以上のユーザーロール) の Stored Cross-Site Scripting (XSS) 脆弱性があります。 | 5.4 |
CVE 2022-12-11 23:00:05.349406 |
| CVE-2017-20056 | weblizar User Login Log Plugin 2.2.1 に脆弱性が発見されました。問題ありとして分類されています。影響を受けるのは、未知の関数です。この操作により、基本的なクロスサイトスクリプティング(Stored)が行われます。リモートで攻撃を開始することが可能です。このエクスプロイトは一般に公開されており、使用される可能性があります。 | 5.4 |
CVE 2022-12-10 09:00:05.472062 |
| CVE-2022-1776 | 2.1.8 以前の Popups, Welcome Bar, Optins and Lead Generation Plugin WordPress プラグインは、一部のキャンペーンパラメーターをサニタイズおよびエスケープしないため、コントリビューター程度のロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 5.4 |
CVE 2022-12-10 03:00:04.961694 |
| CVE-2017-20054 | XYZScripts Contact Form Manager Plugin に脆弱性が発見されました。このプラグインは問題があると評価されています。この問題の影響を受けるのは、いくつかの未知の機能です。この操作により、基本的なクロスサイトスクリプティングが行われます。この攻撃は、リモートで実行される可能性があります。このエクスプロイトは一般に公開されており、使用される可能性があります。 | 5.4 |
CVE 2022-12-09 09:00:08.924112 |
| CVE-2021-38344 | WordPress 用プラグイン Brizy Page Builder <= 2.3.11 には、購読者などの低特権ユーザーによる保存型 XSS の脆弱性が存在します。brizy_update_item AJAX アクション経由でページを更新するために送信されるリクエストを変更し、data パラメータに JavaScript を追加することで、悪意のある JavaScript をページに追加することが可能で、この JavaScript は投稿やページを閲覧またはプレビューする訪問者のセッションで実行されることになります。 | 5.4 |
CVE 2022-12-09 03:00:05.297520 |
| CVE-2022-1626 | 1.4.1 までの Sharebar WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更させられる可能性があり、また、一部の設定でサニタイズとエスケープが行われていないため、Stored Cross-Site Scripting 問題が発生する可能性があります。 | 5.4 |
CVE 2022-12-08 23:00:04.736592 |
| CVE-2022-1759 | 2.0.16 までの RB Internal Links WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更させられる可能性があり、またサニタイズとエスケープの不足により、保存型クロスサイトスクリプティング攻撃を実行させられる可能性があります。 | 5.4 |
CVE 2022-12-08 09:00:09.036607 |
| CVE-2022-29440 | WordPress の Promotion Slider プラグイン <= 3.3.4 に、複数の認証済み (投稿者またはそれ以上のユーザーロール) の保存型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-08 03:00:10.329514 |
| CVE-2022-1780 | 3.4.10 までの LaTeX for WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、ログインしている管理者が CSRF 攻撃によって設定を変更できる可能性があります。 | 5.4 |
CVE 2022-12-07 23:00:10.506443 |
| CVE-2022-1764 | 1.8 までの WP-chgFontSize WordPress プラグインは、設定の更新時に CSRF チェックを行わないため、ログインした管理者が CSRF 攻撃によって設定を変更し、サニタイズとエスケープの不足により、Stored Cross-Site Scripting につながる可能性があります。 | 5.4 |
CVE 2022-12-07 09:00:03.998801 |
| CVE-2022-1964 | 3.3.0 以前の Easy SVG Support WordPress プラグインは、アップロードされた SVG ファイルをサニタイズしないため、Author 以下のロールを持つユーザが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 | 5.4 |
CVE 2022-12-07 03:00:04.463985 |
| CVE-2022-1757 | 2.70 以前のページバー WordPress プラグインは、設定を更新する際に CSRF チェックを行わないため、攻撃者がログインした管理者に CSRF 攻撃で設定を変更させることができる可能性があります。さらに、一部でサニタイズが行われていないため、Stored XSS の問題にもつながる可能性があります | 5.4 |
CVE 2022-12-06 23:00:06.276535 |
| CVE-2022-1792 | Quick Subscribe WordPress プラグイン 1.7.1 は、設定の更新時に CSRF チェックを行わないため、CSRF 攻撃によりログインした管理者が設定を変更できる可能性があります。また、一部の設定でサニタイズとエスケープが行われていないため、Stored XSS につながる可能性があります。 | 5.4 |
CVE 2022-12-06 09:00:03.787747 |
| CVE-2021-24822 | 7.0.4 以前の Stylish Cost Calculator WordPress プラグインは、AJAX アクションの一部に認証と CSRF チェックがないため(認証済みユーザーが利用可能)、購読者などの認証済みユーザーがそれらを呼び出して、ログインした管理者やフロントエンドユーザーに対して、一部のパラメーターにサニタイズとエスケープがないため、保存型クロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2022-12-06 09:00:03.786135 |
| CVE-2022-1549 | 1.1.7 までの WP Athletics WordPress プラグインは、データベースに保存する前にパラメータをサニタイズせず、また管理ダッシュボードに出力する際に値をエスケープしないため、Stored Cross-Site Scripting 脆弱性が発生します。 | 5.4 |
CVE 2022-12-06 03:00:04.799688 |
| CVE-2022-32280 | Xakuro の XO Slider プラグイン <= 3.3.2 at WordPress に、認証済み (投稿者またはそれ以上のユーザーロール) の格納型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-05 23:00:05.349916 |
| CVE-2022-2040 | 2.4.2 以前の Brizy WordPress プラグインは、一部の要素の URL をサニタイズおよびエスケープしないため、Contributor ほどの低いロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行する可能性があります。 | 5.4 |
CVE 2022-12-05 09:00:04.626788 |
| CVE-2021-24543 | jQuery Reply to Comment WordPress プラグイン 1.31 では、設定保存時の CSRF チェック、およびコメント出力前の 'Quote String' と 'Reply String' のサニタイズとエスケープを行っていないため、Stored Cross-Site Scripting 問題が発生します。 | 6.1 |
CVE 2022-12-05 09:00:04.623789 |
| CVE-2021-24615 | 1.7までのWechat Reward WordPressプラグインは、QR設定のサニタイズやエスケープ、CSRFチェックが行われておらず、攻撃者はログインした管理者に設定を変更させ、クロスサイトスクリプティング攻撃を行うことが可能です。 | 5.4 |
CVE 2022-12-05 09:00:04.617971 |
| CVE-2022-1557 | ULeak Security & Monitoring WordPress プラグイン 1.2.3 は、設定の更新時に認証と CSRF チェックが行われず、またサニタイズとエスケープが一部欠けているため、購読者などの認証済みユーザーが、設定を閲覧する管理者に対して Stored Cross-Site Scripting 攻撃を行うことができる可能性があります。 | 5.4 |
CVE 2022-12-05 03:00:04.295402 |
| CVE-2022-1506 | 1.0 までの WP Born Babies WordPress プラグインは、一部のフィールドをサニタイズおよびエスケープしていないため、コントリビューター程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2022-12-04 23:00:05.912490 |
| CVE-2022-2041 | 2.4.2 以前の Brizy WordPress プラグインは、一部の要素コンテンツをサニタイズおよびエスケープしないため、Contributor ほどの低いロールを持つユーザーが Stored Cross-Site Scripting 攻撃を実行する可能性があります。 | 5.4 |
CVE 2022-12-04 09:00:04.037183 |
| CVE-2022-29426 | 2J Slideshow Team の Slideshow, Image Slider by 2J プラグイン <= 1.3.54 at WordPress に、認証済み(投稿者以上のユーザーロール)の Reflected Cross-Site Scripting (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-04 03:00:06.494621 |
| CVE-2022-1209 | WordPress 用プラグイン Ultimate Member には、プロフィールページのソーシャルフィールドに入力された URL の検証が不十分なため、オープンリダイレクトの脆弱性があり、2.3.1 までのバージョンでは、攻撃者がユーザーのプロフィールページでソーシャルアイコンをクリックすると、疑わしくない被害者にリダイレクトすることが可能です。 | 5.4 |
CVE 2022-12-03 23:00:05.583914 |
| CVE-2022-1051 | Discy および Himer のコンパニオンプラグインとして使用されている 5.2 以前の WPQA Builder Plugin WordPress プラグインは、プロフィールページで出力する際に都市、電話、プロフィールの認証情報フィールドをサニタイズおよびエスケープしないため、認証済みの任意のユーザーがクロスサイトスクリプティング攻撃を実行することが可能です。 | 5.4 |
CVE 2022-12-03 09:00:04.024070 |
| CVE-2022-29406 | DynamicWebLab の WordPress Team Manager プラグイン <= 1.6.9 at WordPress に、複数の認証済み (投稿者またはそれ以上のユーザーロール) 保管型クロスサイトスクリプティング (XSS) 脆弱性が存在します。 | 5.4 |
CVE 2022-12-02 09:00:03.927029 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.