WordPressに関連するセキュリティ情報をお知らせしてます

見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。

アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] [268] [269] [270] [271] [272] [273] [274] [275] [276] [277] [278] [279] [280] [281] [282] [283] (8484)
ID 説明 CVSS v3 ベーススコア 情報元
ID 説明 CVSS v3 ベーススコア 情報元
CVE-2024-8618 ページビルダー:1.9.0 より前の Pagelayer WordPress プラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html 機能が許可されていない場合でも、管理者などの高権限ユーザーが (マルチサイト設定などで) Stored クロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.594075
CVE-2024-8617 6.5.9.9以前のQuiz Maker WordPressプラグインは、そのような管理者のような高特権ユーザーがunfiltered_html機能が許可されていない場合であっても(例えば、マルチサイトのセットアップで)ストアドクロスサイトスクリプティング攻撃を実行することができ、その設定の一部をサニタイズおよびエスケープされません。 4.8 CVE
2025-08-23 09:00:08.592544
CVE-2024-8542 3.0.3.1より前のEverest Forms WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも(マルチサイト設定などで)、管理者のような高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.592067
CVE-2024-8493 6.6.4以前のEvents Calendar WordPressプラグインは、設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーが(マルチサイト設定などで)Stored Cross-Site Scripting攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.591560
CVE-2024-8492 7.8.5までのHustle WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、編集者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.591094
CVE-2024-8426 ページビルダー:1.8.8以前のWordPressプラグインPagelayerは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、管理者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.590597
CVE-2024-8398 2.1.3までのSimple Nav Archives WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 4.3 CVE
2025-08-23 09:00:08.590114
CVE-2024-8397 2.6.1より前のwebtoffee-gdpr-cookie-consent WordPressプラグインは、IPヘッダをログに記録する際に適切にIPヘッダをサニタイズおよびエスケープしないため、訪問者がStored Cross-Site Scripting攻撃を行う可能性があります。ペイロードは、管理者が「Consent report」ページにアクセスし、悪意のあるスクリプトが管理者コンテキストで実行されたときにトリガーされます。 5.4 CVE
2025-08-23 09:00:08.589549
CVE-2024-8286 2.6.1より前のwebtoffee-gdpr-cookie-consent WordPressプラグインは、一部のバルクアクションでCSRFチェックを行っていないため、攻撃者はCSRF攻撃によって、ログインした管理者に訪問ログの削除などの不要なアクションを実行させることができます。 6.5 CVE
2025-08-23 09:00:08.588703
CVE-2024-8284 3.2.99より前のDownload Manager WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていないため、unfiltered_htmlが許可されていない場合でも、編集者などの高権限ユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.588223
CVE-2024-8245 1.0.1より前のGamiPress WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 4.3 CVE
2025-08-23 09:00:08.587668
CVE-2024-8187 3.0.1より前のSmart Post Show WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.587063
CVE-2024-8095 1.1.5までのBabelZ WordPressプラグインには、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃でStored XSSペイロードを追加させることができます。 6.1 CVE
2025-08-23 09:00:08.586226
CVE-2024-8094 2.0e までの Ntz Antispam WordPress プラグインには、設定を更新する際の CSRF チェック機能がないため、ログインしている管理者に CSRF 攻撃で設定を変更させられる可能性があります。 6.5 CVE
2025-08-23 09:00:08.585306
CVE-2024-8090 0.1 までの JavaScript Logic WordPress プラグインには CSRF チェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者に CSRF 攻撃で Stored XSS ペイロードを追加させることができます。 6.1 CVE
2025-08-23 09:00:08.584763
CVE-2024-8085 1.1.9までのPeoplePond WordPressプラグインにはCSRFチェックがない箇所があり、サニタイズとエスケープが欠けているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 6.1 CVE
2025-08-23 09:00:08.584198
CVE-2024-8082 0.1 までの Widgets Reset WordPress プラグインには、設定を更新する際の CSRF チェック機能がないため、CSRF 攻撃によってログインした管理者に設定を変更させられる可能性がある。 4.3 CVE
2025-08-23 09:00:08.583352
CVE-2024-8050 Custom Author Base WordPress プラグイン 1.1.1 では、設定を更新する際に CSRF チェックが行われていないため、CSRF 攻撃によってログインした管理者に設定を変更させられる可能性があります。 4.3 CVE
2025-08-23 09:00:08.582863
CVE-2024-8032 1.0までのSmooth Gallery Replacement WordPressプラグインには、CSRFチェックがない箇所があり、エスケープだけでなくサニタイズも欠落しているため、攻撃者はログインした管理者にCSRF攻撃によってStored XSSペイロードを追加させることができます。 6.1 CVE
2025-08-23 09:00:08.582271
CVE-2024-8031 1.2.3 より前の Secure Downloads WordPress プラグインには、ダウンロード可能なファイルを適切に制限しない脆弱性があります。このため、管理者レベル以上のアクセス権を持つ認証済みの攻撃者が、wp-config.php のような機密情報を含む可能性のある任意のファイルをダウンロードできてしまいます。 6.5 CVE
2025-08-23 09:00:08.581771
CVE-2024-8009 Sensei LMS WordPressプラグイン4.20.0以前のバージョンでは、メールアドレスを含むブログの全ユーザーを学生ページで先生に公開しています。 7.5 CVE
2025-08-23 09:00:08.581251
CVE-2024-7984 2.3.1までのJoy Of Text Lite WordPressプラグインは、設定を更新する際にCSRFチェックを行っていないため、CSRF攻撃によってログインした管理者に設定を変更させられる可能性がある。 4.3 CVE
2025-08-23 09:00:08.580401
CVE-2024-7769 1.90までのClickSold IDX WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.579911
CVE-2024-7762 2.12.6以前のSimple Job Board WordPressプラグインは、アップロードされたファイルがリストに表示されるのを防いでいないため、認証されていないユーザーがアップロードされた履歴書にアクセスし、ダウンロードすることができます。 7.5 CVE
2025-08-23 09:00:08.579435
CVE-2024-7761 2.12.2以前のSimple Job Board WordPressプラグインをテストする過程で、悪意のあるスクリプトを埋め込むことでエディタに代わってStored XSSを実装できる脆弱性が見つかりました。 6.1 CVE
2025-08-23 09:00:08.578961
CVE-2024-7759 1.7.72より前のPWA for WP WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合でも、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります(マルチサイト設定など)。 4.8 CVE
2025-08-23 09:00:08.578426
CVE-2024-7758 7.1.8より前のStylish Price List WordPressプラグインでは、設定の一部がサニタイズおよびエスケープされないため、contributor以上の高権限ユーザーが、unfiltered_html機能が許可されていない場合でも(マルチサイト設定などで)、Stored Cross-Site Scripting攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.577559
CVE-2024-7556 0.5.3までのSimple Share WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.576288
CVE-2024-6809 1.4.3以前のSimple Video Directory WordPressプラグインは、認証されていないユーザーが利用可能なAJAXアクションでSQLステートメントにパラメータを使用する前に、パラメータを適切にサニタイズおよびエスケープしておらず、SQLインジェクションにつながります。 9.8 CVE
2025-08-23 09:00:08.575768
CVE-2024-6798 1.2までのDL Verification WordPressプラグインは、その設定の一部をサニタイズおよびエスケープしていません。このため、unfiltered_html機能が許可されていない場合(マルチサイト設定など)であっても、管理者などの高権限ユーザーがストアドクロスサイトスクリプティング攻撃を実行できる可能性があります。 4.8 CVE
2025-08-23 09:00:08.575209
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] [268] [269] [270] [271] [272] [273] [274] [275] [276] [277] [278] [279] [280] [281] [282] [283] (8484)

セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。

Copyright © 2022 frame and surface.