WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2023-5531 | WordPress 用 Thumbnail Slider With Lightbox プラグインは、1.0 までのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは削除機能における nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる、偽造されたリクエストを使用して画像のライトボックスを削除することが可能になります。 | 4.3 |
CVE 2024-01-20 03:00:04.066301 |
| CVE-2023-41694 | Realbig Team Realbig For WordPress プラグイン <= 1.0.3 バージョンに CSRF (Cross-Site Request Forgery) 脆弱性が存在します。 | 8.8 |
CVE 2024-01-18 03:00:04.696205 |
| CVE-2023-5468 | WordPress 用 Slick Contact Forms プラグインは、1.3.7 までのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 'dcscf-link' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-18 03:00:04.694862 |
| CVE-2023-5467 | WordPress 用プラグイン GEO my WordPress には、4.0 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-18 03:00:04.691810 |
| CVE-2023-44233 | FooPlugins Best WordPress Gallery Plugin - FooGallery プラグイン <= 2.2.44 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2024-01-14 09:00:04.708912 |
| CVE-2023-4469 | WordPress 用の Profile Extra Fields by BestWebSoft プラグインは、1.2.7 までのバージョンで prflxtrflds_export_file 関数の機能チェックが欠落しているため、データに不正アクセスされる脆弱性があります。これにより、認証されていない攻撃者が、カスタムフィールドに入力されたデータを含む、潜在的にセンシティブなユーザーデータを公開する可能性があります。 | 5.3 |
CVE 2024-01-14 09:00:04.705882 |
| CVE-2015-10126 | WordPressのEasy2Map Photos Plugin 1.0.1に致命的な脆弱性が発見されました。この脆弱性は未知のコードに影響します。この操作はSQLインジェクションにつながります。攻撃はリモートから開始できます。バージョン1.1.0にアップグレードすることでこの問題に対処できます。パッチは 503d9ee2482d27c065f78d9546f076a406189908 として特定されています。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241318 は、この脆弱性に割り当てられた識別子です。 | 9.8 |
CVE 2024-01-14 03:00:06.083818 |
| CVE-2023-37996 | GTmetrix GTmetrix for WordPress プラグイン <= 0.4.7 バージョンにクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2024-01-13 23:00:04.485875 |
| CVE-2023-37992 | PressPage Entertainment Inc.のWordPressプラグインにクロスサイトリクエストフォージェリ(CSRF)の脆弱性。Smarty for WordPress プラグイン <= 3.1.35 バージョン。 | 8.8 |
CVE 2024-01-13 09:00:04.957968 |
| CVE-2023-5357 | WordPress 用 Instagram for WordPress プラグインは、2.1.6 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-11 23:00:04.955353 |
| CVE-2023-5291 | WordPress 用 Blog Filter プラグインは、1.5.3 までのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、'AWL-BlogFilter' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2024-01-11 23:00:04.954553 |
| CVE-2023-3213 | WordPress 用 WP Mail SMTP Pro プラグインは、3.8.0 までのバージョンにおいて、is_print_page 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者が潜在的にセンシティブなメール情報を開示する可能性があります。 | 5.3 |
CVE 2024-01-11 23:00:04.951947 |
| CVE-2023-5334 | WordPress 用 WP Responsive ヘッダー画像スライダープラグインは、3.2.1 までのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、'sp_responsiveslider' ショートコードを介した Stored クロスサイトスクリプティングの脆弱性があります。これにより、投稿者レベル以上のパーミッションを持つ認証された攻撃者は、ユーザーが注入されたページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 5.4 |
CVE 2024-01-10 23:00:03.915663 |
| CVE-2015-10124 | WordPressの0.8までのMost Popular Posts Widget Pluginに脆弱性が見つかりました。この脆弱性はクリティカルに分類されています。影響を受けるのは、functions.php ファイルの add_views/show_views 関数です。この操作はSQLインジェクションにつながります。リモートからの攻撃が可能です。バージョン 0.9 にアップグレードすることで、この問題に対処できます。パッチは a99667d11ac8d320006909387b100e9a8b5c12e1 として識別されます。影響を受けるコンポーネントをアップグレードすることを推奨します。VDB-241026 は、この脆弱性に割り当てられた識別子です。 | 9.8 |
CVE 2024-01-10 09:00:07.881828 |
| CVE-2023-41731 | I Thirteen Web Solution WordPress の公開投稿メール通知プラグイン <= 1.0.2.2 バージョンに、認証 (admin+) 保存型クロスサイトスクリプティング (XSS) の脆弱性。 | 4.8 |
CVE 2024-01-10 03:00:14.542849 |
| CVE-2015-9297 | WordPress 5.6以前のevents-managerプラグインにXSSがあります。 | 6.1 |
CVE 2023-12-18 09:00:06.710357 |
| CVE-2022-29450 | WordPress の Admin Management Xtended プラグイン <= 2.4.4 に複数のクロスサイトリクエストフォージェリ (CSRF) の脆弱性。 | 8.8 |
CVE 2023-12-18 09:00:06.709264 |
| CVE-2022-1094 | 4.59.4 以前の amr users WordPress プラグインは、設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html 機能が許可されていない場合でも、admin などの高権限ユーザーが Stored Cross-Site Scripting 攻撃を実行できる可能性があります。 | 4.8 |
CVE 2023-12-18 09:00:06.708589 |
| CVE-2021-42362 | WordPress Popular Posts WordPress プラグインには、~/src/Image.php ファイルで発見された不十分な入力ファイルタイプ検証により、任意のファイルをアップロードされる脆弱性があります。このため、5.3.2 までのバージョンでは、投稿者レベル以上のアクセス権を持つ攻撃者が、リモートでコードを実行するために使用できる悪意のあるファイルをアップロードすることが可能です。 | 8.8 |
CVE 2023-12-18 09:00:06.705710 |
| CVE-2017-18559 | 14.13.3 以前の WordPress 用 cforms2 プラグインには、複数の XSS 問題があります。 | 6.1 |
CVE 2023-12-18 03:00:05.920302 |
| CVE-2020-15364 | WordPress用テーマ1.7までのNexosでは、top-map/?search_location=が反映されたXSSを利用することができます。 | 6.1 |
CVE 2023-12-17 23:00:06.418478 |
| CVE-2022-1005 | 13.2.2 以前の WP Statistics WordPress プラグインは、REQUEST_URI パラメータをレンダリングページに出力する前にサニタイズしないため、文字をエンコードしないウェブブラウザでクロスサイトスクリプティング(XSS)を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-17 09:00:05.468972 |
| CVE-2022-1532 | 1.3.8 以前の Themify WordPress プラグインは、管理ページで属性に出力する前にページパラメーターをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-17 03:00:08.765426 |
| CVE-2022-1724 | 4.1.1 以前の Simple Membership WordPress プラグインは、AJAX アクションで出力する前にパラメータを適切にサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生する可能性があります。 | 6.1 |
CVE 2023-12-16 23:00:05.217272 |
| CVE-2022-1604 | 1.5.4 以前の MailerLite WordPress プラグインは、ページ内に出力する前にパラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scripting が発生します。 | 6.1 |
CVE 2023-12-16 09:00:07.745662 |
| CVE-2022-2173 | Advanced Database Cleaner WordPress プラグイン 3.1.1 以前では、管理者ダッシュボードページの href 属性に出力する前に多数の生成 URL をエスケープしないため、反射型クロスサイトスクリプティングが発生する。 | 6.1 |
CVE 2023-12-16 03:00:06.531925 |
| CVE-2021-24349 | この Gallery from files WordPress プラグイン 1.6.0 を使用すると、画像をサーバーにアップロードする機能が提供されます。しかし、ファイル名が無効な拡張子を持つ場合、エラーメッセージに出力される前に適切にサニタイズされないため、クロスサイトスクリプティングの問題が反映されることになります。CSRF チェックがないため、このようなベクトルによる攻撃も可能です。 | 6.1 |
CVE 2023-12-15 23:00:06.314815 |
| CVE-2022-29408 | Vsourz Digital の Advanced Contact form 7 DB プラグイン <= 1.8.7 at WordPress に持続的なクロスサイトスクリプティング (XSS) の脆弱性が存在します。 | 6.1 |
CVE 2023-12-15 09:00:09.067536 |
| CVE-2018-11105 | WordPress 8.0.08 以前の wp-live-chat-support プラグインには、悪意のある攻撃者が管理者との新しいチャットを開始するたびに、wp-json/wp_live_chat_support/v1/start_chat の "name" (aka wplc_name) と "email" (aka wplc_email) 入力フィールドを介して保存されたクロスサイトスクリプティングがあります。注意:この問題は、CVE-2018-9864の修正が不完全であるために存在します。 | 6.1 |
CVE 2023-12-15 03:00:09.909284 |
| CVE-2022-0346 | 2.0.4 以前の XML Sitemap Generator for Google WordPress プラグインは、任意の値を設定できるパラメータを検証しないため、allow_url_include がオンになっているとエラーメッセージ経由の XSS や RCE を引き起こす可能性があります。 | 6.1 |
CVE 2023-12-14 23:00:06.171985 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.