WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2025-11889 | WordPress 用 AIO Forms - Craft Complex Forms Easily プラグインは、1.3.15 までのすべてのバージョンにおいて、インポート機能のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 7.2 |
CVE 2026-02-01 09:00:13.228113 |
| CVE-2025-11887 | WordPress 用 Supervisor プラグインは、1.3.2 までのすべてのバージョンにおいて、いくつかの AJAX 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、プラグインの各種設定を更新することが可能です。 | 4.3 |
CVE 2026-02-01 09:00:13.227540 |
| CVE-2025-11504 | WordPress 用プラグイン Quickcreator - AI Blog Writer には、バージョン 0.0.9 から 0.1.17 において、/wp-content/plugins/quickcreator/dupasrala.txt ファイルを介した機密情報漏洩の脆弱性があります。このため、認証されていない攻撃者がプラグインの API キーを閲覧し、そのキーを使ってサイト上で新しい投稿を作成したり XSS ペイロードを注入したりといったアクションを実行することが可能です。 | 7.5 |
CVE 2026-02-01 09:00:13.226634 |
| CVE-2025-11257 | WordPress 用 LLM Hubspot Blog Import プラグインは、1.0.1 までのすべてのバージョンにおいて、'process_save_blogs' AJAX エンドポイントの機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、すべてのハブスポットデータのインポートをトリガーすることが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.225686 |
| CVE-2025-11172 | WordPress 用の Check Plagiarism プラグインは、2.0 までのすべてのバージョンにおいて、chk_plag_mine_plugin_wpse10500_admin_action() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者が API キーを更新することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.224808 |
| CVE-2025-10902 | WordPress用のOriginality.ai AI Checkerプラグインは、1.0.12までのすべてのバージョンにおいて、'ai_scan_result_remove'関数の機能チェックが欠落しているため、不正にデータを失う脆弱性があります。これにより、Subscriberレベル以上のアクセス権を持つ認証済みの攻撃者が、wp_originalityai_logデータベーステーブル内のすべてのデータを削除することが可能になります。 | 4.3 |
CVE 2026-02-01 09:00:13.223873 |
| CVE-2025-10901 | WordPress用のOriginality.ai AI Checkerプラグインは、1.0.12までのすべてのバージョンにおいて、'ai_get_table'関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、wp_originality_ai_log データベーステーブル内のすべてのデータを読み取ることが可能であり、これには投稿タイトル、スキャンスコア、使用クレジット、およびその他のデータが含まれる可能性があります。 | 4.3 |
CVE 2026-02-01 09:00:13.221425 |
| CVE-2025-10749 | WordPress 用 Microsoft Azure Storage for WordPress プラグインには、4.5.1 までのすべてのバージョンにおいて、Unauthorized Arbitrary Media Deletion の脆弱性があります。これは、'azure-storage-media-replace' AJAX アクションの機能チェックの欠落によるものです。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、すべての認証済みユーザに公開されている nonce にアクセスすることで、replace_attachment パラメータを介して WordPress メディアライブラリから任意のメディアファイルを削除することが可能になります。 | 5.4 |
CVE 2026-02-01 09:00:13.220205 |
| CVE-2025-10748 | WordPress 用 RapidResult プラグインは、1.2 までのすべてのバージョンにおいて、's' パラメータを介した SQL インジェクションの脆弱性があります。これは、ユーザが提供したパラメータのエスケープが不十分で、既存の SQL クエリの準備が十分でないことが原因です。これにより、投稿者レベル以上の権限を持つ認証済みの攻撃者が、データベースから機密情報を抽出するために使用可能な、追加のSQLクエリを既存のクエリに追加することが可能になります。 | 6.5 |
CVE 2026-02-01 09:00:13.219176 |
| CVE-2025-10740 | WordPress 用 URL Shortener Plugin For WordPress プラグインは、3.0.7 までのすべてのバージョンにおいて verifyRequest 関数の機能チェックが欠落しているため、API によって提供される機能への不正アクセスの脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ、認証された攻撃者がリンクを変更することが可能になります。 | 6.3 |
CVE 2026-02-01 09:00:13.218223 |
| CVE-2025-10701 | The Time Clock - A WordPress Employee & Volunteer Time Clock Plugin for WordPress には、1.3.1 までのすべてのバージョンにおいて、'data' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これは、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なためです。これにより、Time Clockのユーザー認証情報を持つ認証済みの攻撃者が、ユーザーが影響を受けるページにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能になります。 | 6.4 |
CVE 2026-02-01 09:00:13.204144 |
| CVE-2025-6440 | WordPress テーマ「Pricom - Printing Company & Design Services」で使用されている WordPress 用 WooCommerce Designer Pro プラグインは、1.9.26 までのすべてのバージョンにおいて、'wcdp_save_canvas_design_ajax' 関数のファイルタイプ検証の欠落により、任意のファイルをアップロードされる脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能となり、リモートでコードを実行される可能性があります。 | 9.8 |
CVE 2026-02-01 03:00:04.962965 |
| CVE-2025-9978 | 2.7.0より前のJeg Kit for Elementor WordPressプラグインは、xmlrpc.php経由でアップロードされたSVGファイルの内容をサニタイズしておらず、クロスサイトスクリプティングの脆弱性があります。 | 6.8 |
CVE 2026-02-01 03:00:04.962017 |
| CVE-2025-10874 | オービットフォックス:Duplicate Page, Menu Icons, SVG Support, Cookie Notice, Custom Fonts & More WordPressプラグイン3.0.2以前のバージョンでは、ストックフォトインポート機能に使用できるURLを制限していないため、ユーザーが任意のURLを指定することができます。このため、任意の URL を指定することができ、サーバサイドリクエストフォージェリにつながります。 | 5.5 |
CVE 2026-02-01 03:00:04.960768 |
| CVE-2025-10723 | 11.1.2以前のPixelYourSite WordPressプラグインは、関数/秒に渡されるパスを生成するためにそれらを使用する前に、いくつかのURLパラメータを検証していないため、任意の管理者がLFI攻撃を実行することができます。 | 2.7 |
CVE 2026-02-01 03:00:04.957286 |
| CVE-2025-7730 | WordPress 用 Bold Page Builder プラグインは、5.4.5 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'percentage' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビュータレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-31 23:00:05.274125 |
| CVE-2025-8427 | WordPress 用プラグイン Beaver Builder Plugin (Starter Version) には、2.9.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'auto_play' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-31 09:00:31.468262 |
| CVE-2025-11128 | RSS Aggregator by Feedzy - Feed to Post, Autoblogging, News & YouTube Video Feeds Aggregator plugin for WordPress には、5.1.0 までのすべてのバージョンにおいて、'feedzy_sanitize_feeds' 関数を経由した Server-Side Request Forgery の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能になり、内部サービスの情報を照会するために使用される可能性があります。 | 5.0 |
CVE 2026-01-31 09:00:31.466990 |
| CVE-2025-10705 | MxChat - AI Chatbot for WordPress plugin for WordPress には、2.4.6 までのすべてのバージョンにおいて、Blind Server-Side Request Forgery の脆弱性があります。これは、PDF 処理機能において、ユーザが提供する URL の検証が不十分なためです。このため、認証されていない攻撃者は、mxchat_handle_chat_request AJAX アクションを介して、WordPress サーバーに任意の宛先への HTTP リクエストを実行させることが可能です。 | 5.3 |
CVE 2026-01-31 09:00:31.454436 |
| CVE-2025-62048 | WPMU DEV - Your All-in-One WordPress Platform SmartCrawl smartcrawl-seo.この問題は、n/aから<= 3.14.3までのSmartCrawlに影響します。 | 5.4 |
CVE 2026-01-30 09:00:23.652084 |
| CVE-2025-53422 | ThemeWarriors WhatsApp Chat for WordPress and WooCommerce tw-whatsapp-chat-rotatorにおけるウェブページ生成時の入力の不適切な中和('クロスサイトスクリプティング')の脆弱性により、Reflected XSSを許してしまいます。この問題は WhatsApp Chat for WordPress and WooCommerce: n/a から <= 1.2.1. | 7.1 |
CVE 2026-01-30 09:00:23.651137 |
| CVE-2025-49960 | この問題は、LeadBI Plugin for WordPress の n/a から <= 1.7 までのバージョンに影響します。 | 6.5 |
CVE 2026-01-30 09:00:23.650251 |
| CVE-2025-49953 | この問題は、WordPress 用の究極のソーシャル共有ボタンである ShareBang の n/a から <= 1.4 までのバージョンに影響します。 | 7.1 |
CVE 2026-01-30 09:00:23.649036 |
| CVE-2025-11086 | Academy LMS - WordPress LMS Plugin for Complete eLearning Solution プラグインは、3.3.7 までのすべてのバージョンにおいて、特権昇格の脆弱性があります。これは、ソーシャルログインアドオン経由でユーザーを登録する前に、プラグインがユーザーのロールを適切に検証しないことが原因です。このため、認証されていない攻撃者がサイトに登録する際に、ロールを管理者に更新することが可能です。 | 8.1 |
CVE 2026-01-30 09:00:23.648490 |
| CVE-2025-6833 | WordPress 用 All in One Time Clock Lite - Tracking Employee Time Has Never Been Easier プラグインは、2.0 までのすべてのバージョンにおいて、'aio_time_clock_lite_js' AJAX アクション経由で、ユーザー制御キーのバリデーションが欠落しているため、安全でない直接オブジェクト参照の脆弱性があります。このため、サブスクライバー以上のアクセス権を持つ認証済みの攻撃者が、他のユーザーを出入りさせることが可能です。 | 4.3 |
CVE 2026-01-30 09:00:23.647397 |
| CVE-2025-11883 | WordPress 用の Responsive Progress Bar プラグインは、1.0 未満のバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの rprogress ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.646329 |
| CVE-2025-11880 | WordPress 用 SM CountDown Widget プラグインは、1.2 未満のバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの smcountdown ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.645525 |
| CVE-2025-11878 | WordPress 用 ST Categories Widget プラグインは、バージョン 1.0.0 未満の場合、プラグインの st-categories ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。 これは、ユーザが提供した属性に対する入力サニタイズと出力エスケープが不十分なためです。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.644736 |
| CVE-2025-11872 | WordPress 用 Material Design Iconic Font Integration プラグインは、2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの 'mdiconic' ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.643919 |
| CVE-2025-11870 | WordPress 用 Simple Business Data プラグインには、1.0.1 までのすべてのバージョンにおいて、'simple_business_data' ショートコード属性を介した Stored Cross-Site Scripting の脆弱性があります。これは、レンダリングされた HTML の `class` 属性に `type` 属性を埋め込む際に、プラグインがユーザー入力を適切にサニタイズしていなかったり、出力をエスケープしていなかったりすることが原因です。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2026-01-30 09:00:23.643349 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.