WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-11416 | WordPress 用 WIP Incoming Lite プラグインは、1.1.1 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、save_option() 関数の nonce 検証の欠落または不正確さに起因します。これにより、認証されていない攻撃者が設定を更新したり、サイト管理者を騙してリンクをクリックするなどのアクションを実行させるために、偽造されたリクエストを経由して悪意のあるウェブスクリプトを注入したりすることが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.393006 |
| CVE-2024-11414 | WordPress 用 RecipePress Reloaded プラグインは、2.12.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、Recipe Ingredients を介した Stored Cross-Site Scripting の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.392449 |
| CVE-2024-11412 | WordPress 用 Shine PDF Embeder プラグインは、1.0 までのすべてのバージョンにおいて、ユーザが提供する属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'shinepdf' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.391876 |
| CVE-2024-11409 | WordPress 用 Grid View Gallery プラグインは、1.0 までのすべてのバージョンにおいて、 cs_all_photos_details パラメータからの信頼できない入力のデシリアライズを経由した PHP オブジェクトインジェクションの脆弱性があります。これにより、Editor レベル以上のアクセス権を持つ認証済みの攻撃者が PHP オブジェクトをインジェクションすることが可能となります。脆弱なソフトウェアには既知の POP チェーンは存在しません。ターゲットシステムにインストールされた追加のプラグインやテーマによって POP チェーンが存在する場合、攻撃者が任意のファイルを削除したり、 機密データを取得したり、コードを実行したりできる可能性があります。 | 7.2 |
CVE 2025-03-01 09:00:05.391300 |
| CVE-2024-11388 | The Dino Game - Embed Google Chrome Dinosaur Game in WordPress plugin for WordPress は、1.1.0 までのすべてのバージョンにおいて、プラグインの 'dino-game' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.390760 |
| CVE-2024-11385 | WordPress 用 Pure CSS Circle Progress bar プラグインは、1.2 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの 'circle_progress' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.390241 |
| CVE-2024-11371 | Theater for WordPress プラグインは、0.18.6.2 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.389705 |
| CVE-2024-11370 | WordPress 用 Subaccounts for WooCommerce プラグインは、1.6.0 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.389170 |
| CVE-2024-11365 | WordPress 用 Crypto and DeFi Widgets - Web3 Cryptocurrency Shortcodes プラグインは、1.1.6 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.388614 |
| CVE-2024-11360 | WordPress 用 Page Parts プラグインは、1.4.3 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.388037 |
| CVE-2024-11354 | WordPress用Ultimate YouTube Video & Shorts Player With Vimeoプラグインは、3.3までのすべてのバージョンにおいて、del_ytsingvid()関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。このため、サブスクライバーレベル以上のアクセス権を持つ認証済みの攻撃者が、単一のプレイリストを削除することが可能です。 | 4.3 |
CVE 2025-03-01 09:00:05.387448 |
| CVE-2024-11334 | WordPress 用 My Contador lesr プラグインは、2.0 までのすべてのバージョンで exportar_registros() 関数の機能チェックが欠落しているため、データへの不正アクセスの脆弱性があります。これにより、認証されていない攻撃者がユーザーデータをエクスポートすることが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.386846 |
| CVE-2024-11197 | WordPress 用 Lock User Account プラグインは、1.0.5 までのすべてのバージョンにおいて、ユーザーロックバイパスに対する脆弱性があります。これは、ユーザーアカウントがロックされているときにアプリケーションパスワードによるログインを許可しているためです。これにより、アカウントがロックされているにもかかわらず、既存のアプリケーションパスワードを持つ認証済みの攻撃者が、XML-RPC や REST などの API 経由で脆弱なサイトとやりとりすることが可能になります。 | 4.2 |
CVE 2025-03-01 09:00:05.386145 |
| CVE-2024-10898 | WordPress 用 Contact Form 7 Email Add on プラグインには、1.9 までのすべてのバージョンにおいて cf7_email_add_on_add_admin_template() 関数によるローカルファイル取り込みの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ、 認証された攻撃者がサーバー上の任意の PHP ファイルをインクルードして実行することが可能となり、 ファイル内の任意の PHP コードの実行が可能となります。これは、アクセス制御を回避したり、機密データを取得したり、 php ファイルがアップロードされインクルードされた場合にコードを実行したりするために使用されます。 | 8.8 |
CVE 2025-03-01 09:00:05.385591 |
| CVE-2024-10890 | WordPress 用 WPAdverts - Classifieds Plugin プラグインは、2.1.7 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg と remove_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.385087 |
| CVE-2024-10796 | WordPress 用の If-So Dynamic Content Personalization プラグインは、1.9.2.1 までのすべてのバージョンにおいて、どの投稿を含めることができるかの制限が不十分なため、'ifso-show-post' ショートコードによる情報暴露の脆弱性があります。このため、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、Elementor を介して作成された非公開の投稿や下書きの投稿から、アクセスすべきでないデータを抽出することが可能になってしまいます。 | 4.3 |
CVE 2025-03-01 09:00:05.384533 |
| CVE-2024-10792 | The Easiest Funnel Builder For WordPress & WooCommerce by WPFunnels plugin for WordPress には、入力のサニタイズと出力のエスケープが不十分なため、3.5.5 までのすべてのバージョンにおいて、'post_id' パラメータを介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブ・スクリプトを注入して実行することが可能になります。この問題は 3.5.4 で部分的に修正され、3.5.5 で完全に修正されました。 | 6.1 |
CVE 2025-03-01 09:00:05.383876 |
| CVE-2024-10788 | WordPress 用の Activity Log - Monitor & Record User Changes プラグインは、2.11.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、イベントパラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者が任意のウェブスクリプトをページに注入することが可能になり、管理者ユーザが注入されたページにアクセスするたびに実行されます。 | 7.2 |
CVE 2025-03-01 09:00:05.383108 |
| CVE-2024-10785 | Gutenberg Blocks with AI by Kadence WP - Page Builder Features plugin for WordPress は、3.3.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、「カウントダウン」ウィジェットを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-03-01 09:00:05.382431 |
| CVE-2024-10782 | WordPress 用の Theme Builder For Elementor プラグインは、1.2.2 までのすべてのバージョンにおいて、どの投稿を含めることができるかの制限が不十分であるため、'elementor-template' ショートコードを経由した情報漏えいの脆弱性があります。このため、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、Elementor で作成された非公開の投稿や下書きの投稿から、アクセスすべきでないデータを引き出すことが可能です。 | 4.3 |
CVE 2025-03-01 09:00:05.381608 |
| CVE-2024-10726 | WordPress 用 Friendly Functions for Welcart プラグインには、1.2.4 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは、設定更新機能における nonce バリデーションの欠落または不正確さによるものです。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようサイト管理者をだますことができるように付与された偽造リクエストを介して悪意のあるウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.381035 |
| CVE-2024-10696 | WordPress 用 UltraAddons - Elementor Addons (Header Footer Builder, Custom Font, Custom CSS, Woo Widget, Menu Builder, Anywhere Elementor Shortcode) プラグインは、1.1.8 までのすべてのバージョンにおいて、show_template 経由で、ユーザが制御するキーのバリデーションが欠落しているため、Insecure Direct Object Reference の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、下書き、非公開、保留中の投稿の内容を公開することが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.380477 |
| CVE-2024-10682 | WordPress 用の Announcement & Notification Banner - Bulletin プラグインは、3.11.7 までのすべてのバージョンにおいて、URLに適切なエスケープを施さずに add_query_arg および remove_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページに任意のウェブ・スクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.379912 |
| CVE-2024-10675 | WordPress 用の affiliate-toolkit プラグインは、3.6.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、URL 経由の Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.379301 |
| CVE-2024-10671 | Button Block - Get fully customizable & multi-functional buttons plugin for WordPress は、1.1.4 までのすべてのバージョンにおいて、[btn_block] ショートコードによる情報漏えいの脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、パスワードで保護された投稿、非公開の投稿、またはアクセスすべきでない下書きの投稿からデータを抽出することが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.378618 |
| CVE-2024-10623 | WordPress用テーマ「ForumEngine」は、1.8までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、URLを経由したReflected Cross-Site Scriptingの脆弱性があります。これにより、認証されていない攻撃者は、ユーザを騙してリンクをクリックさせるなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.377976 |
| CVE-2024-10532 | WordPress 用 Bard Extra プラグインは、1.2.7 までのすべてのバージョンにおいて、bardxtra_import_xml() 関数の機能チェックが欠落しているため、データを不正に変更される脆弱性があります。これにより、サブスクライバ・レベル以上のアクセス権を持つ、認証された攻撃者がデモ・データをインポートすることが可能になってしまいます。 | 4.3 |
CVE 2025-03-01 09:00:05.377376 |
| CVE-2024-10528 | WordPress 用プラグイン Ultimate Member - User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin は、2.8.9 までのすべてのバージョンにおいて、wp_ajax_um_resize_image() および ajax_resize_image() 関数の機能チェックが欠落しているため、プロフィール画像を不正に更新される脆弱性があります。これにより、サブスクライバレベル以上のアクセス権を持つ認証済みの攻撃者が、他のユーザのプロフィール画像を更新することが可能になります。 | 4.3 |
CVE 2025-03-01 09:00:05.376597 |
| CVE-2024-10522 | WordPress 用 Co-marquage service-public.fr プラグインは、0.5.76 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合に、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-03-01 09:00:05.375944 |
| CVE-2024-10482 | 1.5.0 以前の WordPress プラグイン Media File Rename, Find Unused File, Add Alt text, Caption, Desc For Image SEO では、アップロードされた SVG ファイルがサニタイズされないため、Author 以下のロールを持つユーザーが XSS ペイロードを含む悪意のある SVG をアップロードできる可能性があります。 | 5.4 |
CVE 2025-03-01 09:00:05.375346 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.