WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-8095 | 1.1.5までのBabelZ WordPressプラグインには、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃でStored XSSペイロードを追加させることができます。 | 6.1 |
CVE 2025-08-23 09:00:08.586226 |
| CVE-2024-8094 | 2.0e までの Ntz Antispam WordPress プラグインには、設定を更新する際の CSRF チェック機能がないため、ログインしている管理者に CSRF 攻撃で設定を変更させられる可能性があります。 | 6.5 |
CVE 2025-08-23 09:00:08.585306 |
| CVE-2024-8090 | 0.1 までの JavaScript Logic WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができます。 | 6.1 |
CVE 2025-08-23 09:00:08.584763 |
| CVE-2024-8085 | 1.1.9までのPeoplePond WordPressプラグインにはCSRFチェックがない箇所があり、サニタイズとエスケープが欠けているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 6.1 |
CVE 2025-08-23 09:00:08.584198 |
| CVE-2024-8082 | 0.1 までの Widgets Reset WordPress プラグインには、設定を更新する際の CSRF チェック機能がないため、CSRF 攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 4.3 |
CVE 2025-08-23 09:00:08.583352 |
| CVE-2024-8050 | Custom Author Base WordPress プラグイン 1.1.1 では、設定を更新する際に CSRF チェックが行われていないため、CSRF 攻撃によってログインした管理者に設定を変更させられる可能性があります。 | 4.3 |
CVE 2025-08-23 09:00:08.582863 |
| CVE-2024-8032 | 1.0までのSmooth Gallery Replacement WordPressプラグインには、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 | 6.1 |
CVE 2025-08-23 09:00:08.582271 |
| CVE-2024-8031 | 1.2.3 より前の Secure Downloads WordPress プラグインには、ダウンロード可能なファイルを適切に制限しない脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、wp-config.php のような機密情報を含む可能性のある任意のファイルをダウンロードできてしまいます。 | 6.5 |
CVE 2025-08-23 09:00:08.581771 |
| CVE-2024-8009 | Sensei LMS WordPressプラグイン4.20.0以前のバージョンでは、メールアドレスを含むブログの全ユーザーを学生ページで先生に公開しています。 | 7.5 |
CVE 2025-08-23 09:00:08.581251 |
| CVE-2024-7984 | 2.3.1までのJoy Of Text Lite WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 | 4.3 |
CVE 2025-08-23 09:00:08.580401 |
| CVE-2024-7769 | 1.90までのClickSold IDX WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.579911 |
| CVE-2024-7762 | 2.12.6以前のSimple Job Board WordPressプラグインは、アップロードされたファイルがリストに表示されるのを防いでいないため、認証されていないユーザーがアップロードされた履歴書にアクセスし、ダウンロードすることができます。 | 7.5 |
CVE 2025-08-23 09:00:08.579435 |
| CVE-2024-7761 | 2.12.2以前のSimple Job Board WordPressプラグインをテストする過程で、悪意のあるスクリプトを埋め込むことでエディタに代わってStored XSSを実装できる脆弱性が見つかりました。 | 6.1 |
CVE 2025-08-23 09:00:08.578961 |
| CVE-2024-7759 | 1.7.72より前のPWA for WP WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.578426 |
| CVE-2024-7758 | 7.1.8より前のStylish Price List WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、contributor以上の高権限ユーザーが、unfiltered_html機能が許可されていない場合でも(マルチサイト設定などで)、Stored Cross-Site Scripting攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.577559 |
| CVE-2024-7556 | 0.5.3までのSimple Share WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.576288 |
| CVE-2024-6809 | 1.4.3以前のSimple Video Directory WordPressプラグインは、認証されていないユーザーが利用可能なAJAXアクションでSQLステートメントにパラメータを使用する前に、パラメータを適切にサニタイズおよびエスケープしておらず、SQLインジェクションにつながります。 | 9.8 |
CVE 2025-08-23 09:00:08.575768 |
| CVE-2024-6798 | 1.2までのDL Verification WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.575209 |
| CVE-2024-6797 | 1.2までのDL Robots.txt WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が(マルチサイト設定などで)許可されていない場合でも、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.574279 |
| CVE-2024-6719 | 1.0.1より前のOffload Videos WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、低権限ユーザーがCSRF攻撃によって設定を更新できる可能性がある。 | 8.1 |
CVE 2025-08-23 09:00:08.573406 |
| CVE-2024-6718 | PVN Auth Popup WordPressプラグイン1.0.0では、ショートコードを埋め込むページ/投稿に出力する前に、ショートコードの属性の一部を検証およびエスケープしていないため、投稿者ロール以上のユーザがStored Cross-Site Scripting攻撃を行う可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.572876 |
| CVE-2024-6713 | PVN Auth Popup WordPressプラグイン1.0.0では、一部の設定がサニタイズおよびエスケープされていないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.572004 |
| CVE-2024-6712 | 0.2.1 までの MapFig Studio WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができる。 | 6.1 |
CVE 2025-08-23 09:00:08.571381 |
| CVE-2024-6711 | 2.3.8以前のWordPressプラグイン「Event Tickets with Ticket Scanner」は、一部のパラメータをサニタイズおよびエスケープしていないため、管理者以下のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 6.1 |
CVE 2025-08-23 09:00:08.570814 |
| CVE-2024-6708 | 3.12.2以前のUser Profile Builder WordPressプラグインは、管理エリアにコンテンツを出力する前に一部のパラメータをサニタイズおよびエスケープしていないため、Admin+ユーザーがクロスサイトスクリプティング攻撃を行う可能性があります。 | 4.8 |
CVE 2025-08-23 09:00:08.570234 |
| CVE-2024-6693 | 15.3より前のwccp-pro WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.569609 |
| CVE-2024-6690 | 15.3より前のwccp-pro WordPressプラグインには、referrerパラメータを経由したオープンリダイレクトの欠陥があり、ユーザーを外部サイトへリダイレクトさせることができる。 | 6.1 |
CVE 2025-08-23 09:00:08.569076 |
| CVE-2024-6668 | 1.3までのProfilePro WordPressプラグインは、一部のパラメータをサニタイズおよびエスケープしておらず、適切なアクセス制御を欠いているため、subscriber程度のロールを持つユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 | 5.4 |
CVE 2025-08-23 09:00:08.568536 |
| CVE-2024-6667 | KBucket:4.1.5以前のWordPressプラグインでは、パラメータをエスケープしてからページに出力しないため、管理者に悪用される可能性のあるクロスサイトスクリプティングが発生します。 | 6.1 |
CVE 2025-08-23 09:00:08.567977 |
| CVE-2024-6665 | KBucket:4.1.6以前のWordPressプラグインでは、一部の設定がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 | 4.8 |
CVE 2025-08-23 09:00:08.566668 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.