WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-5284 6.5.1 より前の wp-affiliate-platform WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 6.8 CVE
2024-10-21 03:00:09.046106
CVE-2024-5283 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.045556
CVE-2024-5282 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.045031
CVE-2024-5281 6.5.1以前のWordPressプラグインwp-affiliate-platformは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある、反射型クロスサイトスクリプティングを引き起こします。 6.1 CVE
2024-10-21 03:00:09.044478
CVE-2024-5280 6.5.1以前のWordPressプラグインwp-affiliate-platformにはCSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はCSRF攻撃によって非ログインユーザーにXSSペイロードを実行させることができる。 4.7 CVE
2024-10-21 03:00:09.043919
CVE-2024-5167 1.4.9以前のCM Email Registration Blacklist and Whitelist WordPressプラグインは、ブラックリストまたはホワイトリストから項目を追加または削除する際にCSRFチェックを行っていないため、攻撃者はログインした管理者にCSRF攻撃によってブラックリストまたはホワイトリストのメニューから設定を追加または削除させることができる。 8.1 CVE
2024-10-21 03:00:09.043311
CVE-2024-5151 4.3.1以前のSULly WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 7.1 CVE
2024-10-21 03:00:09.042710
CVE-2024-5080 10.6.6以前のwp-eMember WordPressプラグインは、アップロードされるファイルを検証しないため、管理者がサーバー上にPHPなどの任意のファイルをアップロードできる可能性がある。 8.8 CVE
2024-10-21 03:00:09.042158
CVE-2024-5079 10.6.7より前のwp-eMember WordPressプラグインは、メンバー登録時のフィールドの一部をサニタイズおよびエスケープしていないため、認証されていないユーザーがストアドクロスサイトスクリプティング攻撃を行う可能性がある。 6.1 CVE
2024-10-21 03:00:09.041559
CVE-2024-5077 10.6.6より前のwp-eMember WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 6.8 CVE
2024-10-21 03:00:09.040993
CVE-2024-5076 10.6.6以前のwp-eMember WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 8.8 CVE
2024-10-21 03:00:09.040429
CVE-2024-5075 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 5.9 CVE
2024-10-21 03:00:09.039775
CVE-2024-5074 10.6.6以前のwp-eMember WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 5.4 CVE
2024-10-21 03:00:09.039210
CVE-2024-5034 4.3.1以前のSULly WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によってログインしたユーザーに不要なアクションを実行させられる可能性がある。 8.8 CVE
2024-10-21 03:00:09.038586
CVE-2024-5033 4.3.1より前のSULly WordPressプラグインは、CSRFチェックをいくつかの場所で行っておらず、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができる。 5.9 CVE
2024-10-21 03:00:09.038071
CVE-2024-5032 4.3.1以前のSULly WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクトクロスサイトスクリプティングが発生します。 4.7 CVE
2024-10-21 03:00:09.037524
CVE-2024-5028 1.3.9以前のCM WordPress Search And Replace Plugin WordPressプラグインにはCSRFチェックがない箇所があり、CSRF攻撃によりログインしているユーザーに不要なアクションを実行させられる可能性がある。 6.5 CVE
2024-10-21 03:00:09.036964
CVE-2024-5002 20240516以前のUser Submitted Posts WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-10-21 03:00:09.036369
CVE-2024-4977 1.4.18より前のIndex WP MySQL For Speed WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 6.8 CVE
2024-10-21 03:00:09.035756
CVE-2024-4752 2.2.15以前のEventON WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.9 CVE
2024-10-21 03:00:09.035165
CVE-2024-4602 1.10以前のEmbed Peertube Playlist WordPressプラグインでは、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)ストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 5.4 CVE
2024-10-21 03:00:09.034515
CVE-2024-4272 1.1.0より前のSupport SVG WordPressプラグインはSVGファイルの内容をサニタイズしていないため、少なくとも作者ロールを持つユーザーが悪意のあるJavaScriptでSVGを作成し、Stored XSS攻撃を行うことが可能です。 6.1 CVE
2024-10-21 03:00:09.033908
CVE-2024-4269 1.1.20より前のSVG Block WordPressプラグインは、SVGファイルの内容をサニタイズしないため、少なくとも作者ロールを持つユーザーが悪意のあるJavaScriptでSVGを作成し、Stored XSS攻撃を行うことが可能です。 6.1 CVE
2024-10-21 03:00:09.033210
CVE-2024-4217 7.1.5以前のWordPressプラグインshortcodes-ultimate-proは、ショートコードの設定の一部を適切にエスケープしないため、Contributorアカウントを持つ攻撃者がStored XSS攻撃を行う可能性があります。 4.7 CVE
2024-10-21 03:00:09.032607
CVE-2024-3964 3.1.8以前のWordPressプラグインProduct Enquiry for WooCommerceは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 5.9 CVE
2024-10-21 03:00:09.032014
CVE-2024-3963 1.12.14以前のGiveaways and Contests by RafflePress WordPressプラグインでは、一部のパラメータがサニタイズおよびエスケープされないため、エディタ以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.5 CVE
2024-10-21 03:00:09.031380
CVE-2024-3919 OpenPGP Form Encryption for WordPressプラグイン1.5.1以前のバージョンでは、ショートコードを埋め込んだページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 4.6 CVE
2024-10-21 03:00:09.030708
CVE-2024-3753 1.1.5.3以前のHostel WordPressプラグインは、ページ内にパラメータを出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングが発生します。 5.9 CVE
2024-10-21 03:00:09.030064
CVE-2024-3751 3.3.0より前のSeriously Simple Podcasting WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2024-10-21 03:00:09.029390
CVE-2024-3710 3.6.0より前のImage Photo Gallery Final Tiles Grid WordPressプラグインは、ページに出力する前にショートコード属性のバリデーションとエスケープを行わないため、contributor程度のロールを持つユーザが、管理者などの高い権限を持つユーザに対して使用可能な、保存されたクロスサイトスクリプティング攻撃を実行できる可能性があります。 6.8 CVE
2024-10-21 03:00:09.028537
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] (4180)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.