WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2025-3503 4.7.2より前のWP Maps WordPressプラグインは、マップ設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-09 03:00:05.038093
CVE-2025-3502 4.7.2より前のWP Maps WordPressプラグインは、マップ設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-09 03:00:05.037387
CVE-2024-13381 5.2.62より前のCalculated Fields Form WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-09 03:00:05.036722
CVE-2025-4099 WordPress 用の List Children プラグインは、2.1 までのすべてのバージョンにおいて、 ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、 プラグインの 'list_children' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-08-09 03:00:05.035589
CVE-2025-3952 WordPress 用 Projectopia - WordPress プロジェクト管理プラグインは、5.1.16 までのすべてのバージョンにおいて、'pto_remove_logo' 関数の機能チェックが欠落しているため、不正なデータ改変によるサービス拒否の脆弱性があります。これにより、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイト上の任意のオプション値を削除することが可能になります。これを利用して、サイトにエラーを発生させるようなオプションを削除し、正当なユーザーへのサービスを拒否することができる。 8.1 CVE
2025-08-09 03:00:05.034328
CVE-2024-13845 WordPress 用 Gravity Forms WebHooks プラグインは、1.6.0 までのすべてのバージョンにおいて、GF_Webhooks クラスの 'process_feed' メソッドを経由した Server-Side Request Forgery の脆弱性があります。これにより、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、ウェブアプリケーションから任意の場所にウェブリクエストを行うことが可能になり、内部サービスからの情報の照会や変更に使用される可能性があります。 5.5 CVE
2025-08-09 03:00:05.033205
CVE-2025-2168 WordPress 用の Ultimate Store Kit Elementor Addons, Woocommerce Builder, EDD Builder, Elementor Store Builder, Product Grid, Product Table, Woocommerce Slider プラグインは、2.4.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは dismiss() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者は、任意のユーザーメタ値を `1` に設定することが可能になり、これを利用して、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙すことができる偽造リクエストによって、管理者をサイトから締め出すことができます。 4.3 CVE
2025-08-09 03:00:05.032510
CVE-2025-1305 WordPress用NewsBloggerテーマには、0.2.5.4までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、newsblogger_install_and_activate_plugin()関数のnonceバリデーションが欠けているか、正しくないことが原因です。これにより、認証されていない攻撃者が任意のファイルをアップロードし、リンクをクリックするなどのアクションを実行するようにサイト管理者をだますことができるように付与された偽造リクエストを経由してリモートでコードを実行することが可能になります。 8.8 CVE
2025-08-09 03:00:05.031449
CVE-2025-1304 WordPress用NewsBloggerテーマは、0.2.5.1までのすべてのバージョンにおいて、newsblogger_install_and_activate_plugin()関数の機能チェックが欠落しているため、任意のファイルをアップロードされる脆弱性があります。これにより、購読者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバー上に任意のファイルをアップロードすることが可能になり、リモートでコードを実行される可能性があります。 8.8 CVE
2025-08-09 03:00:05.030127
CVE-2025-2816 WordPress 用 Page View Count プラグインは、バージョン 2.8.0 から 2.8.4 までの yellow_message_dontshow() 関数の機能チェックが欠落しているため、不正なデータ改変によるサービス拒否の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、WordPress サイトのオプション値を 1 つに更新することが可能になります。これを利用して、サイトにエラーを発生させ正当なユーザのサービスを拒否するようなオプションを更新したり、登録のようないくつかの値を true に設定したりすることができます。 8.1 CVE
2025-08-09 03:00:05.027149
CVE-2024-13926 1.2 までの WordPress プラグイン WP-Syntax は入力を適切に処理しないため、攻撃者が大量のタグを含む投稿を作成し、正規表現処理における致命的なバックトラックの問題を悪用して DoS を引き起こす可能性があります。 7.5 CVE
2025-08-08 23:00:09.081555
CVE-2025-2890 WordPress 用の tagDiv Opt-In Builder プラグインは、1.7 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリに十分な準備がないため、'subscriptionCouponId' パラメータを介して時間ベースの SQL インジェクションの脆弱性があります。 これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを既存のクエリに追加することが可能になります。 6.5 CVE
2025-08-08 09:00:05.617764
CVE-2025-2010 JobWP - Job Board, Job Listing, Career Page and Recruitment Plugin for WordPress は、2.3.9 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'jobwp_upload_resume' パラメータを経由した SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、既に存在するクエリに追加することが可能になってしまいます。 7.5 CVE
2025-08-08 03:00:06.591059
CVE-2025-3953 WP Statistics - The Most Popular Privacy-Friendly Analytics Plugin plugin for WordPress は、14.13.3 までのすべてのバージョンにおいて、'optionUpdater' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のプラグイン設定を更新することが可能になります。 6.5 CVE
2025-08-08 03:00:06.332165
CVE-2025-3471 1.4.4以前のSureForms WordPressプラグインでは、REST API経由で設定を更新する際に適切な権限チェックが行われないため、Contributor以上のロールがそのようなアクションを実行できる可能性があります。 4.9 CVE
2025-08-08 03:00:06.329108
CVE-2025-2186 WordPress用Recover WooCommerce Cart Abandonment, Newsletter, Email Marketing, Marketing Automation By FunnelKitプラグインは、3.5.1までの全てのバージョンにおいて、'automationId'パラメーターを経由したSQLインジェクションの脆弱性があります。 これにより、認証されていない攻撃者が、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 7.5 CVE
2025-08-07 23:00:06.811444
CVE-2024-13925 2.13.5より前のKlarna Checkout for WooCommerce WordPressプラグインは、認証されていないWooCommerce Ajaxエンドポイントを公開しており、攻撃者がリクエストごとのPOSTパラメータに許容される最大サイズのデータをログファイルに溢れさせる可能性があります。これにより、ディスク容量が急速に消費され、ディスク全体がいっぱいになる可能性があります。 7.5 CVE
2025-08-07 09:00:07.307428
CVE-2025-3452 SecuPress Free - WordPress Security プラグインは、2.3.9 までのすべてのバージョンにおいて、'secupress_reinstall_plugins_admin_ajax_cb' 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のプラグインをインストールすることが可能です。 4.3 CVE
2025-08-07 09:00:04.747565
CVE-2025-2539 WordPress 用 File Away プラグインは、3.9.9.0.1 までのすべてのバージョンにおいて、ajax() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者は、可逆的な弱いアルゴリズムの使用を利用して、機密情報を含む可能性のあるサーバー上の任意のファイルの内容を読み取ることが可能になります。 7.5 CVE
2025-08-07 03:00:18.518936
CVE-2025-2893 Gutenverse - Ultimate Block Addons and Page Builder for Site Editor plugin for WordPress は、2.2.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインのカウントダウンブロックを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 6.4 CVE
2025-08-07 03:00:18.380922
CVE-2024-12273 5.2.62より前のCalculated Fields Form WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 3.5 CVE
2025-08-07 03:00:18.377727
CVE-2025-2485 WordPress 用 Drag and Drop Multiple File Upload for Contact Form 7 プラグインは、1.3.8.7 までのすべてのバージョンにおいて、'dnd_upload_cf7_upload' 関数からの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。 関数からの信頼できない入力のデシリアライズを経由します。これにより、攻撃者は PHAR ファイルを通して PHP Object をインジェクションすることが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しませんので、 POP チェーンを含む別のプラグインやテーマがサイトにインストールされていない限り、 この脆弱性の影響はありません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者は存在する POP チェーンに応じて、任意のファイルを削除したり、機密データを取得したり、コードを実行したりといったアクションを実行できる可能性があります。この脆弱性は、ファイルアップロードアクションを持つフォームがサイト上に存在する場合に、認証されていない攻撃者によって悪用される可能性があります。この脆弱性を悪用するためには、Flamingo プラグインがインストールされ、有効化されている必要があります。この脆弱性はバージョン1.3.8.8で部分的に修正されました。 7.5 CVE
2025-08-06 23:00:51.301022
CVE-2015-4582 TheCartPress boot-store (別名 Boot Store) テーマ 1.6.4 for WordPress は header.php tcp_register_error XSS を許可します。注: CVE-2015-4582 は Oracle 製品には割り当てられていません。 7.2 CVE
2025-08-06 09:00:04.955442
CVE-2024-10804 WordPress 用プラグイン Ultimate Video Player WordPress & WooCommerce プラグインは、10.0 までのすべてのバージョンにおいて、content/downloader.php ファイルを経由したディレクトリトラバーサルの脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 7.5 CVE
2025-08-06 03:00:05.993367
CVE-2025-0627 WordPress Tag, Category, and Taxonomy Manager WordPressプラグイン3.30.0より前のバージョンでは、ウィジェットの設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-08-06 03:00:05.792452
CVE-2024-9771 16.26.12より前のWP-Recall WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 3.5 CVE
2025-08-06 03:00:05.791619
CVE-2024-13688 7.6.10以前のAdmin and Site Enhancements (ASE) WordPressプラグインは、パスワード保護機能でハードコードされたパスワードを使用しており、攻撃者は細工されたリクエストを経由して提供される保護をバイパスすることができます。 5.3 CVE
2025-08-06 03:00:05.788624
CVE-2025-1702 WordPress 用プラグイン Ultimate Member - User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin には、2.10.0 までのすべてのバージョンにおいて、'search' パラメータを経由した時間ベースの SQL インジェクションの脆弱性があります。 これにより、認証されていない攻撃者は、データベースから機密情報を抽出するために使用可能な追加のSQLクエリを、すでに存在するクエリに追加することが可能になります。 7.5 CVE
2025-08-05 23:00:12.306202
CVE-2024-13320 CURCY - WooCommerce Multi Currency - Currency Switcher plugin for WordPress は、2.3.6 までのすべてのバージョンにおいて、ユーザが提供するパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'wc_filter_price_meta[where]' パラメータを経由した SQL インジェクションの脆弱性があります。 このため、認証されていない攻撃者は、データベースから機密情報を抽出するために使用できる追加のSQLクエリを、すでに存在するクエリに追加することが可能です。 7.5 CVE
2025-08-05 09:00:04.990503
CVE-2024-13412 WordPress 用 CozyStay テーマには、1.7.0 までのすべてのバージョンにおいて ajax_handler 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、認証されていない攻撃者が任意のアクションを実行することが可能になります。 7.5 CVE
2025-08-05 03:00:10.248568
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] (7981)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.