WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-13405 | WordPress 用 Apptivo Business Site CRM プラグインは、5.3 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'awp_ip_deny' ページの nonce 検証の欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して IP アドレスをブロックすることが可能になります。 | 4.3 |
CVE 2025-05-30 03:00:05.900527 |
| CVE-2024-13390 | ADFO - Custom data in admin dashboard plugin for WordPress は、1.9.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'adfo_list' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.898122 |
| CVE-2024-12522 | Yay!Forms | Embed Custom Forms, Surveys, and Quizzes Easily plugin for WordPress は、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'yayforms' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.897230 |
| CVE-2024-12339 | WordPress 用 Digihood HTML Sitemap プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.1.1 までのすべてのバージョンにおいて、'channel' パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.895919 |
| CVE-2024-12069 | WordPress 用 Lexicata プラグインは、1.0.16 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、特別に細工されたリンクをクリックするなどのアクションをユーザーに実行させることに成功した場合、実行する任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.895000 |
| CVE-2024-11778 | WordPress 用 CanadaHelps Embedded Donation Form プラグインは、1.0.0 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'embedcdn' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.893766 |
| CVE-2024-11753 | WordPress 用の UMich OIDC Login プラグインは、1.2.0 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'umich_oidc_button' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.892314 |
| CVE-2024-11335 | WordPress 用プラグイン UltraEmbed - Advanced Iframe Plugin For WordPress with Gutenberg Block Included は、1.0.3 までのすべてのバージョンにおいて、ユーザーから提供された属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'iframe' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.891006 |
| CVE-2025-1065 | Visualizer:Visualizer: Tables and Charts Manager for WordPress plugin for WordPress には、3.11.8 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性に対する出力のエスケープが不十分なため、プラグインの Import Data From File 機能を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.889655 |
| CVE-2024-13799 | User Private Files - File Upload & Download Manager with Secure File Sharing plugin for WordPress は、2.1.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'new-fldr-name' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.888462 |
| CVE-2024-12173 | 3.10.5以前のMaster Slider WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、Editor以上のような高権限ユーザーがStored Cross-Site Scripting攻撃を実行できる可能性があります。 | 3.5 |
CVE 2025-05-30 03:00:05.887670 |
| CVE-2025-1441 | WordPress 用 Royal Elementor Addons and Templates プラグインは、1.7.1007 までのすべてのバージョンにおいて、クロスサイトリクエストフォージェリの脆弱性があります。これは、'wpr_filter_woo_products' 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-30 03:00:05.886821 |
| CVE-2024-13443 | WordPress 用 Easypromos Plugin プラグインは、1.3.8 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの Easypromos ショートコードを介した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-30 03:00:05.885534 |
| CVE-2024-11582 | Subscribe2 - Form, Email Subscribers & Newsletters plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、10.43 までのすべてのバージョンにおいて ip パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-05-30 03:00:05.881443 |
| CVE-2024-13508 | WordPress 用 Booking Package プラグインは入力のサニタイズと出力のエスケープが不十分なため、1.6.72 までのすべてのバージョンにおいて locale パラメータを経由した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-05-29 23:00:10.295980 |
| CVE-2024-13743 | WordPress 用 Wonder Video Embed プラグインは、2.2 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの wonderplugin_video ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-29 23:00:10.290816 |
| CVE-2025-27013 | EPC MediCenter - Health Medical Clinic WordPress Theme の Missing Authorization 脆弱性により、不正に設定されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は MediCenter - Health Medical Clinic WordPress Theme: n/a から n/a に影響します。 | 5.3 |
CVE 2025-05-29 09:00:03.202385 |
| CVE-2024-13689 | WordPress 用 Uncode Core プラグインは、2.9.1.6 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションを実行することをソフトウェアが許可しているためです。これにより、サブスクライバレベル以上のアクセス権を持つ、認証された攻撃者が任意のショートコードを実行することが可能になります。 | 6.3 |
CVE 2025-05-29 09:00:03.201805 |
| CVE-2025-0817 | WordPress 用 FormCraft プラグインは、3.9.11 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトを、認証されていない攻撃者がページに注入することが可能になります。 | 7.2 |
CVE 2025-05-29 09:00:03.201106 |
| CVE-2025-0521 | WordPress 用 Post SMTP プラグインは、入力のサニタイズと出力のエスケープが不十分なため、3.0.2 までのすべてのバージョンにおいて、from および subject パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-05-29 09:00:03.200408 |
| CVE-2024-13797 | PressMart - Modern Elementor WooCommerce WordPress Theme は、1.2.16 までのすべてのバージョンにおいて、任意のショートコードを実行される脆弱性があります。これは、do_shortcode を実行する前に値を適切に検証しないアクションをユーザが実行することをソフトウェアが許可しているためです。これにより、認証されていない攻撃者が任意のショートコードを実行することが可能になります。 | 7.3 |
CVE 2025-05-29 09:00:03.199563 |
| CVE-2024-13783 | WordPress 用 FormCraft プラグインは、3.9.11 までのすべてのバージョンにおいて formcraft-main.php の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、フォーム送信から機密情報を含む可能性のあるプラグインデータをすべてエクスポートすることが可能です。 | 4.3 |
CVE 2025-05-29 09:00:03.198934 |
| CVE-2024-13691 | WordPress 用 Uncode テーマは、2.9.1.6 までのすべてのバージョンにおいて、'uncode_recordMedia' 関数の入力検証の不備により、任意のファイルを読み取られる脆弱性があります。このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、サーバー上の任意のファイルを読み取ることが可能です。 | 6.5 |
CVE 2025-05-29 09:00:03.198154 |
| CVE-2024-13681 | WordPress 用 Uncode テーマには、2.9.1.6 までのすべてのバージョンにおいて、'uncode_admin_get_oembed' 関数の入力検証が不十分なため、任意のファイルを読み取られる脆弱性があります。このため、認証されていない攻撃者がサーバ上の任意のファイルを読み取ることが可能です。 | 7.5 |
CVE 2025-05-29 09:00:03.197564 |
| CVE-2024-13667 | WordPress 用 Uncode テーマは、2.9.1.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'mle-description' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 5.4 |
CVE 2025-05-29 09:00:03.196985 |
| CVE-2024-13369 | WordPress 用の Tour Master - Tour Booking, Travel, Hotel プラグインは、5.3.6 までのすべてのバージョンにおいて、ユーザが提供したパラメータのエスケープが不十分であり、既存の SQL クエリの準備が不十分であるため、'review_id' パラメータを経由した時間ベースの SQL インジェクションに対して脆弱です。 このため、Subscriber レベル以上のアクセス権を持つ認証済みの攻撃者は、データベースから機密情報を抽出するために使用できる追加の SQL クエリを既存のクエリに追加することが可能です。 | 6.5 |
CVE 2025-05-29 09:00:03.196300 |
| CVE-2024-13718 | Flexible Wishlist for WooCommerce - Ecommerce Wishlist & Save for later plugin for WordPress には、1.2.26 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、いくつかの関数で nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者を騙ることができる偽造リクエストを介して、他のユーザのウィッシュリストを変更/更新/作成することが可能になります。 | 4.3 |
CVE 2025-05-29 09:00:03.195604 |
| CVE-2024-13395 | WordPress 用 Threepress プラグインは、1.7.1 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'threepress' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-05-29 09:00:03.194869 |
| CVE-2024-13316 | スクラッチ&ウィン - プレゼントとコンテスト。WordPress 用の購読者、トラフィック、リピート訪問、紹介、売上などを増やすプラグインは、2.8.0 までのすべてのバージョンで apmswn_create_discount() 関数の機能チェックが欠落しているため、不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がクーポンを作成することが可能になります。 | 5.3 |
CVE 2025-05-29 09:00:03.193786 |
| CVE-2024-12860 | CarSpot - Dealership Wordpress Classified Theme は、2.4.3 までのすべてのバージョンにおいて、アカウント乗っ取りによる特権昇格の脆弱性があります。これは、プラグインがユーザーのパスワードを更新する前にトークンを適切に検証しないことが原因です。このため、認証されていない攻撃者が、管理者を含む任意のユーザのパスワードを変更し、そのユーザのアカウントにアクセスすることが可能になります。 | 9.8 |
CVE 2025-05-29 09:00:03.190934 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.