WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13629 | 1.0までのpushBIZ WordPressプラグインは、パラメータをページに出力する前にサニタイズおよびエスケープを行わないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングを引き起こします。 | 6.1 |
CVE 2025-06-06 09:00:25.783217 |
| CVE-2024-13628 | 1.1までのWP Pricing Table WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 | 6.1 |
CVE 2025-06-06 09:00:25.782598 |
| CVE-2024-13624 | 2.1.4.8までのWPMovieLibrary WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のある反射型クロスサイトスクリプティングを引き起こします。 | 7.1 |
CVE 2025-06-06 09:00:25.781938 |
| CVE-2024-13571 | 2.3.10以前のPost Timeline WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingを引き起こします。 | 7.1 |
CVE 2025-06-06 09:00:25.781307 |
| CVE-2024-13560 | WordPressのSubscriptions & Memberships for PayPalプラグインは、1.1.6までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは関数のnonce検証の欠落または不正によるものです。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができる付与された偽造リクエストを介して、任意の投稿を削除することが可能になります。 | 4.3 |
CVE 2025-06-06 09:00:25.780485 |
| CVE-2024-13113 | Countdown Timer for Elementor WordPressプラグイン1.3.7以前のバージョンでは、ページ上でパラメータを出力する際に、一部のパラメータをサニタイズおよびエスケープしていないため、contributor以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.9 |
CVE 2025-06-06 09:00:25.779507 |
| CVE-2024-12878 | 3.8.3以前のCustom Block Builder WordPressプラグインは、パラメータをページ内に出力する前にサニタイズおよびエスケープを行わないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 | 7.1 |
CVE 2025-06-06 09:00:25.778524 |
| CVE-2024-12737 | 5.0.0より前のWP BASE Booking of Appointments, Services and Events WordPressプラグインは、ページに出力する前にパラメータをサニタイズおよびエスケープしないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 | 6.1 |
CVE 2025-06-06 09:00:25.777513 |
| CVE-2024-12434 | WordPress 用 SureMembers プラグインには、1.10.6 までのすべてのバージョンにおいて、REST API を介した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が、制限されたコンテンツを含む機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-06-06 09:00:25.776855 |
| CVE-2024-10563 | 1.1.0以前のWooCommerce Cart Count Shortcode WordPressプラグインは、ショートコードが埋め込まれているページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていません。 | 5.4 |
CVE 2025-06-06 09:00:25.776231 |
| CVE-2024-10483 | 6.10.11以前のSimple:Press Forum WordPressプラグインは、ページ内にパラメータを出力する前に、パラメータをサニタイズおよびエスケープしないため、Reflected Cross-Site Scriptingが発生します。 | 7.1 |
CVE 2025-06-06 09:00:25.775103 |
| CVE-2024-10152 | 1.3.1より前のSimple Certain Time to Show Content WordPressプラグインは、パラメータをページ内に出力する前にサニタイズおよびエスケープを行わないため、管理者などの高権限ユーザーに対して使用される可能性のあるReflected Cross-Site Scriptingが発生します。 | 7.1 |
CVE 2025-06-06 09:00:25.772366 |
| CVE-2025-26913 | webandprint AR For WordPress には、ウェブページ生成時の入力の不適切な中和(「クロスサイトスクリプティング」)の脆弱性があり、DOM ベースの XSS が可能です。この問題は AR For WordPress: n/a から 7.7 に影響します。 | 6.5 |
CVE 2025-06-05 09:00:09.917233 |
| CVE-2025-1262 | WordPress 用 Advanced Google reCaptcha プラグインは、1.27 までのバージョンにおいて CAPTCHA Bypass の脆弱性があります。これにより、認証されていない攻撃者が、組み込みの Math Captcha Verification をバイパスすることが可能になります。 | 5.3 |
CVE 2025-06-05 09:00:09.916652 |
| CVE-2024-13695 | WordPress 用 Enfold テーマには、6.0.9 までのすべてのバージョンにおいて、attachment_id パラメータを介した Server-Side Request Forgery の脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証された攻撃者が、ウェブアプリケーションを起点とした任意の場所へのウェブリクエストを行うことが可能となり、内部サービスからの情報の照会や変更に利用される可能性があります。 | 6.4 |
CVE 2025-06-05 09:00:09.915935 |
| CVE-2024-13693 | 6.0.9 までのすべてのバージョンにおいて、avia-export-class.php のケイパビリティチェックが欠落しているため、WordPress 用テーマ Enfold にデータへの不正アクセスの脆弱性があります。このため、認証されていない攻撃者は、Mailchimp API Key、reCAPTCHA Secret Key、Envato private token などの機密情報が設定されている可能性のあるすべての avia 設定をエクスポートすることができます。 | 5.3 |
CVE 2025-06-05 09:00:09.913483 |
| CVE-2024-13494 | WordPress の File Upload プラグインは、4.25.2 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、'wfu_file_details' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができる偽造リクエストを使用して、アップロードされたファイルに関連付けられたユーザーデータの詳細を変更することが可能になります。 | 4.3 |
CVE 2025-06-05 03:00:06.907224 |
| CVE-2025-1648 | WordPress 用 Yawave プラグインは、2.9.1 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'lbid' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 | 7.5 |
CVE 2025-06-05 03:00:06.906165 |
| CVE-2025-1128 | Everest Forms - Contact Forms, Quiz, Survey, Newsletter & Payment Form Builder for WordPress プラグインは、3.0.9.4 までのすべてのバージョンにおいて、 EVF_Form_Fields_Upload クラスの 'format' メソッドにおけるファイルタイプおよびパス検証の欠落により、 任意のファイルをアップロード、読み込み、削除される脆弱性があります。これにより、認証されていない攻撃者が、影響を受けるサイトのサーバー上の任意のファイルをアップロード、読み込み、削除することが可能になり、リモートでのコード実行、機密情報の漏洩、サイトの乗っ取りが可能になる可能性があります。 | 9.8 |
CVE 2025-06-05 03:00:06.905150 |
| CVE-2025-1063 | Classified Listing - Classified ads & Business Directory Plugin plugin for WordPress には、4.0.4 までのすべてのバージョンにおいて、rtcl_taxonomy_settings_export 関数を経由した機密情報漏洩の脆弱性があります。これにより、認証されていない攻撃者が API キーやトークンを含む機密データを抽出することが可能になります。 | 5.3 |
CVE 2025-06-05 03:00:06.904205 |
| CVE-2024-10545 | 3.59.9以前のPhoto Gallery, Sliders, Proofing and WordPressプラグインでは、一部の画像設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-06-05 03:00:06.901507 |
| CVE-2025-27265 | Aaron D. Campbell Google Maps for WordPress には、ウェブページ生成時の入力の不適切な中和 ('クロスサイトスクリプティング') の脆弱性があり、DOM ベースの XSS が可能です。この問題は n/a から 1.0.3 までの Google Maps for WordPress に影響します。 | 6.5 |
CVE 2025-06-04 09:00:12.376345 |
| CVE-2025-1488 | WordPress 用 WPO365 | MICROSOFT 365 GRAPH MAILER プラグインには、3.2 までのすべてのバージョンにおいて Open Redirect の脆弱性があります。これは、'redirect_to' パラメータ経由で提供されるリダイレクト URL の検証が不十分なためです。このため、認証されていない攻撃者が、1.ユーザーを騙してアクションを実行させることに成功し、2.プラグインが有効化されているが設定されていない場合、ユーザーを潜在的に悪意のあるサイトにリダイレクトさせることが可能になります。 | 4.7 |
CVE 2025-06-04 09:00:12.373039 |
| CVE-2024-13822 | 2.8.1までのWordPressプラグイン「フォトコンテスト」「コンペティション」「ビデオコンテスト」は、パラメータをページに出力する前にサニタイズおよびエスケープを行わないため、管理者などの高権限ユーザーに対して使用される可能性のあるリフレクト・クロスサイト・スクリプティングが発生します。 | 6.1 |
CVE 2025-06-04 03:00:12.534020 |
| CVE-2024-13605 | 1.15.33 より前の Form Maker by 10Web WordPress プラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html 機能が許可されていない場合 (マルチサイト設定など) でも、管理者などの高権限ユーザーが Stored クロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-06-04 03:00:12.532631 |
| CVE-2024-12308 | 4.6.0以前のLogo Slider WordPressプラグインは、ショートコードを埋め込むページ/投稿に出力する前に、ショートコード属性の一部を検証およびエスケープしていません。このため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.4 |
CVE 2025-06-04 03:00:12.528931 |
| CVE-2024-13728 | WordPress 用の Accept Donations with PayPal & Stripe プラグインは、1.4.4 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、rf パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-06-03 03:00:03.833659 |
| CVE-2025-0957 | SMTP for Amazon SES - YaySMTP plugin for WordPress は、1.7.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-06-02 09:00:04.872061 |
| CVE-2025-0953 | SMTP for Sendinblue - YaySMTP plugin for WordPress は、1.1.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-06-02 09:00:04.871234 |
| CVE-2025-0918 | SMTP for SendGrid - YaySMTP plugin for WordPress は、1.3.1 までのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-06-02 09:00:04.870198 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.