WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-10126 | WordPress 用 MyBrain Utilities プラグインは、1.0.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'mbumap' ショートコードを経由した保存型クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-19 03:00:05.646036 |
| CVE-2025-10049 | WordPress 用の Responsive Filterable Portfolio プラグインは、1.0.24 までのすべてのバージョンにおいて、HdnMediaSelection_image フィールドを介したファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-12-19 03:00:05.645390 |
| CVE-2025-10040 | WordPress 用プラグイン WP Import - Ultimate CSV XML Importer for WordPress は、7.27 までのすべてのバージョンにおいて、'get_ftp_details' AJAX アクションの機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、設定された SFTP/FTP 認証情報のセットを取得することが可能になります。 | 7.7 |
CVE 2025-12-19 03:00:05.644358 |
| CVE-2025-10001 | WordPress 用のプラグイン Import any XML, CSV or Excel File to WordPress には、3.9.3 までのすべてのバージョンにおいて、インポート機能におけるファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、.phar ファイルのような安全でないファイルを、影響を受けるサイトのサーバー上にアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2025-12-19 03:00:05.643185 |
| CVE-2025-8388 | PowerPack Elementor Addons (Free Widgets, Extensions and Templates) plugin for WordPress は、2.9.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'cursor_url' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-19 03:00:05.639533 |
| CVE-2025-58978 | WP Swings PDF Generator for WordPress の欠落した認可の脆弱性により、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は PDF Generator for WordPress: n/a から 1.5.4 に影響します。 | 5.3 |
CVE 2025-12-18 09:00:19.058152 |
| CVE-2025-48101 | webdevstudios Constant Contact for WordPress の信頼されないデータのデシリアライズの脆弱性は、オブジェクトインジェクションを可能にします。この問題は、Constant Contact for WordPress: n/a から 4.1.1 に影響します。 | 8.8 |
CVE 2025-12-18 09:00:19.056452 |
| CVE-2025-10134 | Goza - Nonprofit Charity WordPress Theme は、3.2.2 までのすべてのバージョンにおいて、alone_import_pack_restore_data() 関数のファイルパスの検証が不十分なため、任意のファイルを削除される脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルを削除することが可能となり、適切なファイル(wp-config.php など)が削除されると、リモートでコードが実行される可能性があります。 | 9.1 |
CVE 2025-12-18 09:00:19.044326 |
| CVE-2024-13889 | WordPress Importer プラグインは、0.8.3 までのすべてのバージョンにおいて、 'maybe_unserialize' 関数で信頼できない入力をデシリアライズすることによる PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱性のあるソフトウェアには既知の POP チェーンは存在しませんので、 POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、 この脆弱性の影響はありません。つまり、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響を与えません。 | 7.2 |
CVE 2025-12-18 03:00:13.878464 |
| CVE-2025-9542 | AutomatorWP - Automator plugin for no-code automations, webhooks & custom integrations in WordPress plugin for WordPress には、5.3.7 までのすべてのバージョンにおいて、複数のプラグイン機能の機能チェックが欠落しているため、不正アクセスやデータの改ざんの可能性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、統合設定を変更したり、既存のオートメーションを閲覧したりすることが可能になります。 | 5.4 |
CVE 2025-12-18 03:00:13.739837 |
| CVE-2025-9539 | AutomatorWP - Automator plugin for no-code automations, webhooks & custom integrations in WordPress plugin for WordPress は、5.3.6 までのすべてのバージョンにおいて、automatorwp_ajax_import_automation_from_url 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が任意のオートメーションを作成することが可能であり、そのようなオートメーションが管理者によって有効化されると、リモートコード実行や特権の昇格につながる可能性があります。 | 8.0 |
CVE 2025-12-18 03:00:13.738967 |
| CVE-2025-9111 | 7.1.0より前のAI ChatBot for WordPress WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-12-18 03:00:13.738440 |
| CVE-2025-9061 | WordPress 用 Wilmer Core プラグインは、2.4.5 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-18 03:00:13.737674 |
| CVE-2025-9058 | WordPress 用 Mikado Core プラグインには、1.5.2 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-18 03:00:13.737056 |
| CVE-2025-8889 | 1.0.5より前のCompress & Upload WordPressプラグインは、アップロードされたファイルを適切に検証しないため、管理者のような高い権限を持つユーザーが、許可されていないにもかかわらず、サーバー上に任意のファイルをアップロードすることができます(マルチサイト設定など)。 | 3.8 |
CVE 2025-12-18 03:00:13.736071 |
| CVE-2025-9489 | WordPress 用 WP-Members Membership Plugin プラグインは、3.5.4.2 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 5.0 |
CVE 2025-12-18 03:00:13.733113 |
| CVE-2025-1913 | Product Import Export for WooCommerce - Import Export Product CSV Suite plugin for WordPress は、2.5.0 までのすべてのバージョンにおいて、 'form_data' パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性の影響はありません。つまり、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響を与えません。 | 7.2 |
CVE 2025-12-17 09:00:09.870741 |
| CVE-2025-9114 | WordPress用テーマDoccureは、1.4.8までのバージョンにおいて、Arbitrary User Password Changeの脆弱性がある。これはプラグインがオブジェクトへのユーザ制御アクセスを提供し、ユーザに認証を回避させてシステムリソースにアクセスさせることに起因します。これにより、認証されていない攻撃者がユーザーパスワードを変更し、管理者アカウントを乗っ取る可能性があります。 | 9.8 |
CVE 2025-12-17 09:00:08.529923 |
| CVE-2025-9113 | WordPress 用 Doccure テーマは、1.4.8 までのすべてのバージョンにおいて、'doccure_temp_upload_to_media' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性がある。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2025-12-17 09:00:08.529229 |
| CVE-2025-9112 | WordPress 用の Doccure テーマは、1.4.8 までの全てのバージョンにおいて、'doccure_temp_file_uploader' 関数のファイルタイプ検証が間違っているため、任意のファイルをアップロードされる脆弱性がある。これにより、サブスクライバレベル以上のパーミッションを持つ認証済みの攻撃者が、影響を受けるサイトのサーバ上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 8.8 |
CVE 2025-12-17 09:00:08.515402 |
| CVE-2025-7725 | WordPress 用の Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery - Upload, Vote, Sell via PayPal or Stripe, Social Share Buttons, OpenAI plugin には、入力のサニタイズと出力のエスケープが不十分なため、26.1.0 までのすべてのバージョンにおいて、コメント機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-12-17 03:00:04.058794 |
| CVE-2025-8085 | 3.1.58より前のDitty WordPressプラグインは、displayItemsエンドポイントへのリクエストに対する認可と認証が欠けており、認証されていない訪問者が任意のURLへリクエストできるようになっています。 | 8.6 |
CVE 2025-12-17 03:00:03.819431 |
| CVE-2025-2257 | Total Upkeep - WordPress Backup Plugin plus Restore & Migrate by BoldGrid plugin for WordPress には、1.16.10 までのすべてのバージョンにおいて compression_level 設定を経由したリモートコード実行の脆弱性があります。これは、プラグインが proc_open() 内で圧縮レベルの設定を検証なしで使用しているためです。これにより、管理者レベル以上のアクセス権を持つ、 認証された攻撃者がサーバー上でコードを実行することが可能になります。 | 7.2 |
CVE 2025-12-16 23:00:10.118052 |
| CVE-2025-2009 | WordPress 用 Newsletters プラグインは、4.9.9.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、ロギング機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-12-16 09:00:12.167374 |
| CVE-2025-1971 | WordPress 用の Export and Import Users and Customers プラグインは、2.6.2 までの全てのバージョンにおいて、 'form_data' パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ、 認証された攻撃者が PHP オブジェクトを注入することが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、 POP チェーンを含む他のプラグインやテーマがサイトにインストールされていない限り、 この脆弱性の影響はありません。つまり、POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、この脆弱性は影響を与えません。 | 7.2 |
CVE 2025-12-15 03:00:10.077856 |
| CVE-2025-10046 | WordPress 用 ELEX WooCommerce Google Shopping (Google Product Feed) プラグインは、1.4.3 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、「file_to_delete」パラメータを経由した SQL インジェクションの脆弱性があります。 このため、管理者レベル以上のアクセス権を持つ認証された攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能です。 | 4.9 |
CVE 2025-12-15 03:00:05.371174 |
| CVE-2025-6757 | WordPress 用 Recent Posts Widget Extended プラグインは、2.0.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'rpwe' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-15 03:00:05.369805 |
| CVE-2025-9493 | WordPress 用 Admin Menu Editor プラグインは、1.14 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'placeholder' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-15 03:00:05.368287 |
| CVE-2025-9442 | WordPress 用 StreamWeasels Kick Integration プラグインは、1.1.5 までの全てのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'vodsChannel' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-15 03:00:05.367356 |
| CVE-2025-9126 | WordPress 用 Smart Table Builder プラグインは、1.0.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'id' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-12-15 03:00:05.365898 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.