WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2022-1020 | 3.1.2 以前の Product Table for WooCommerce (wooproducttable) WordPress プラグインは、wpt_admin_update_notice_option AJAX アクション(未認証ユーザと認証ユーザの両方で利用可能)に認証と CSRF チェックがなく、またコールバックパラメータも検証しないため、未認証攻撃者がユーザ制御引数がないか1つで任意の関数を呼び出せるようにします。 | 9.8 |
CVE 2023-06-28 23:00:14.412572 |
| CVE-2022-0814 | 3.6.4 以前の Ubigeo de Perà para Woocommerce WordPress プラグインは、様々な AJAX アクションで SQL 文を使用する前に、一部のパラメータを適切にサニタイズおよびエスケープしておらず、その一部は未認証ユーザが使用できるため、SQL インジェクションを引き起こす可能性があります。 | 9.8 |
CVE 2023-06-28 09:01:07.064022 |
| CVE-2022-0592 | 6.2.20 以前の MapSVG WordPress プラグインは、SQL 文で使用する前に REST エンドポイント経由でパラメータを検証およびエスケープしないため、未認証のユーザーによる SQL インジェクションが発生します。 | 9.8 |
CVE 2023-06-27 23:00:13.034297 |
| CVE-2015-9410 | Blubrry PowerPress Podcasting plugin 6.0.4 for WordPressには、tabパラメータを経由したXSSが存在します。 | 5.4 |
CVE 2023-06-26 09:00:53.932622 |
| CVE-2015-9306 | WordPress 3.8.1 以前のプラグイン wp-ultimate-csv-importer に XSS があります。 | 6.1 |
CVE 2023-06-09 09:00:13.663421 |
| CVE-2021-25019 | 11.1.12以前のSquirrly SEO WordPressプラグインによるSEOプラグインは、管理画面の属性で出力し直す前にtypeパラメータをエスケープしないため、反射型クロスサイトスクリプティングの可能性があります。 | 6.1 |
CVE 2023-06-09 09:00:13.662758 |
| CVE-2022-0360 | 6.4.3以前のWordPressプラグイン「Easy Drag And drop All Import : WP Ultimate CSV Importer」は、インポートされたコメントをサニタイズおよびエスケープしないため、高い権限を持つユーザーが悪意のあるものをインポートし(意図的かどうかにかかわらず)、保存されたクロスサイトスクリプティング問題につながる可能性があります。 | 4.8 |
CVE 2023-06-09 09:00:13.662045 |
| CVE-2021-24522 | 3.1.11以前のWordPressプラグインProfilePress(旧WP User Avatar)のユーザー登録、ユーザープロフィール、ログイン、会員登録のウィジェットが適切にエスケープされておらず、XSS攻撃で使用されてwp-adminへのアクセスにつながる可能性がありました。さらに、このプラグインは、いくつかの場所で$_POSTを$_GETとして代入していたため、場合によっては$_GETパラメータだけで再現でき、$_POSTの値が不要になる可能性がありました。 | 6.1 |
CVE 2023-06-06 23:00:16.254050 |
| CVE-2021-24450 | 3.1.8以前のProfilePress (Formerly WP User Avatar) WordPressプラグインは、設定を保存してページ内に出力する前にサニタイズまたはエスケープしないため、unfiltered_html機能が禁止されている場合でも、adminなどの高い権限を持つユーザーが設定したJavaScriptペイロードを利用でき、認証済みのStored Cross-Site Scripting問題につながることがありました。 | 4.8 |
CVE 2023-06-06 23:00:16.253308 |
| CVE-2020-15020 | WordPress用の2.9.13までのElementorプラグインに、問題が発見されました。認証された攻撃者は、Name Your Template フィールドを経由して保存された XSS を達成することができます。 | 5.4 |
CVE 2023-06-06 23:00:16.251124 |
| CVE-2020-8426 | WordPress 用の 2.8.5 以前の Elementor プラグインには、elementor-system-info ページに反射型 XSS 脆弱性があります。これらは、認証されたユーザーをターゲットにすることで悪用することができます。 | 5.4 |
CVE 2023-06-06 23:00:16.250387 |
| CVE-2021-24686 | 2.3.20以前のSVG Support WordPressプラグインでは、「対象とするCSSクラス」の設定を属性で出力する前にエスケープしないため、unfiltered_html機能を禁止している場合でも、高権限ユーザーがクロスサイトスクリプティング攻撃を行うことができる可能性があります。 | 4.8 |
CVE 2023-06-05 09:00:51.389343 |
| CVE-2019-9913 | WordPressの8.0.18以前のwp-live-chat-supportプラグインには、wp-admin/admin.php?page=wplivechat-menu-gdpr-page項のXSSがあります。 | 6.1 |
CVE 2023-06-05 09:00:51.387038 |
| CVE-2018-16967 | mndpsingh287 File Manager プラグイン 3.0 for WordPress には、page=wp_file_manager_root public_path パラメーターによる XSS の脆弱性が存在します。 | 6.1 |
CVE 2023-06-05 03:00:14.950308 |
| CVE-2018-0577 | WordPress 用のバージョン 4.0.4 より前の WP Google Map Plugin には、クロスサイトスクリプティングの脆弱性があり、リモートの攻撃者は、指定されていないベクトル経由で任意のウェブスクリプトまたは HTML を注入することができます。 | 5.4 |
CVE 2023-06-04 23:00:10.556350 |
| CVE-2021-36870 | WordPress WP Google Maps プラグイン(バージョン <= 8.1.12) に複数の Authenticated Persistent Cross-Site Scripting (XSS) 脆弱性があります。脆弱なパラメータ: &dataset_name, &wpgmza_gdpr_retention_purpose, &wpgmza_gdpr_company_name, &name #2, &name, &polyname #2, &polyname, &address. | 5.4 |
CVE 2023-06-04 09:00:22.432965 |
| CVE-2019-9912 | WordPress の 7.10.43 以前の wp-google-maps プラグインには、wp-admin/admin.php の PATH_INFO を経由する XSS があります。 | 6.1 |
CVE 2023-06-03 09:00:14.115314 |
| CVE-2020-11515 | WordPress 用 1.0.40.2 までの Rank Math プラグインでは、認証されていないリモート攻撃者が、安全でない rankmath/v1/updateRedirection REST API エンドポイントを介して新しい URI(外部の Web サイトにリダイレクトする)を作成できます。つまり、これは「Open Redirect」の問題ではなく、攻撃者が任意の名前を持つ新しいURI(例えば、/exampleredirect URI)を作成することができるようになります。 | 6.1 |
CVE 2023-06-03 03:00:10.682152 |
| CVE-2021-36871 | WordPress WP Google Maps Pro premium plugin (version <= 8.1.11) に複数の Authenticated Persistent Cross-Site Scripting (XSS) 脆弱性があります。脆弱なパラメータ: &wpgmaps_marker_category_name, Value > &attributes[], Name > &attributes[], &icons[], &names[], &description, &link, &title. | 5.4 |
CVE 2023-05-30 03:00:10.216924 |
| CVE-2019-14792 | WordPress 7.11.35 以前の WP Google Maps プラグインでは、wp-admin/ rectangle_name または rectangle_opacity パラメータを介して XSS が可能です。 | 5.4 |
CVE 2023-05-30 03:00:10.216126 |
| CVE-2021-24383 | 8.1.12 以前の WP Google Maps WordPress プラグインは、管理ダッシュボードのマップリストに出力されるマップ名をサニタイズ、バリデート、エスケープせず、認証されたストアドクロスサイトスクリプティング問題を引き起こしていました。 | 5.4 |
CVE 2023-05-30 03:00:10.214415 |
| CVE-2021-24705 | 8.4.3以前のNEX-Forms WordPressプラグインは、フォーム編集時のCSRFチェックが行われておらず、フォームフィールドだけでなく一部の設定もエスケープしてから属性で出力されないという問題がありました。このため、攻撃者はログインした管理者に、クロスサイトスクリプティングのペイロードが含まれる任意のフォームを編集させることができる。 | 4.8 |
CVE 2023-05-26 09:00:52.664394 |
| CVE-2019-9567 | Forminator Contact Form, Poll & Quiz Builder」プラグイン(WordPress用1.6以前)には、ポールのカスタム入力フィールドを経由したXSSが存在します。 | 6.1 |
CVE 2023-05-26 09:00:52.662075 |
| CVE-2020-9334 | WordPress 用 1.7.6 までの Envira Photo Gallery プラグインには、保存された XSS 脆弱性が存在します。この脆弱性の悪用に成功すると、認証された低特権ユーザーが、他のユーザーが閲覧する任意のJavaScriptコードを注入することが可能になります。 | 5.4 |
CVE 2023-05-26 09:00:52.660451 |
| CVE-2015-9305 | WordPress の 2.3.7 以前のプラグイン wp-google-map-plugin には、add_query_arg() および remove_query_arg() 関数に関連する XSS があります。 | 6.1 |
CVE 2023-05-26 09:00:52.655614 |
| CVE-2022-1113 | 3.7までのFlorist One WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が禁止されている場合(マルチサイト設定など)、adminなどの高権限ユーザーがStored Cross-Site Scripting攻撃を実行する可能性があります。 | 4.8 |
CVE 2023-05-15 09:00:45.885263 |
| CVE-2020-2978 | Oracle Database Server の Oracle Database - Enterprise Edition コンポーネントに脆弱性があります。影響を受けるバージョンは 12.1.0.2, 12.2.0.1, 18c, 19c です。この脆弱性を利用することで、DBAロールのアカウント権限を持ち、Oracle Net経由でネットワークにアクセスできる高権限の攻撃者が、Oracle Database - Enterprise Editionを侵害することが容易になります。この脆弱性は Oracle Database - Enterprise Edition に存在しますが、攻撃は他の製品にも大きな影響を与える可能性があります。この脆弱性を利用した攻撃により、Oracle Database - Enterprise Edition のアクセス可能なデータの一部が不正に更新、挿入、削除される可能性があります。CVSS 3.1 基本スコア 4.1 (完全性への影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N). | 4.1 |
CVE 2023-05-15 09:00:45.882082 |
| CVE-2018-10110 | D-Link DIR-615 T1 デバイスで、ユーザー追加機能による XSS が可能です。 | 4.8 |
CVE 2023-05-10 03:00:10.881773 |
| CVE-2018-6936 | D-Link DIR-600M C1 3.01において、SSIDやユーザーアカウント名を介したクロスサイトスクリプティング(XSS)が存在します。 | 5.4 |
CVE 2023-05-09 09:00:09.928767 |
| CVE-2018-6212 | D-Link DIR-620 のファームウェア 1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0, 2.0.22 の特定のカスタマイズ(ISP によって)されたバージョンにおいて、「検索」フィールドの特殊文字に対するフィルタリングが失敗したり XMLHttpRequest オブジェクトが不正に処理されて、XSS(クロスサイトスクリプト)が原因で、反射型の攻撃が可能であることがわかりました。 | 6.1 |
CVE 2023-05-09 09:00:09.927276 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.