WordPressに関連するセキュリティ情報をお知らせしてます
WordPressに関連するセキュリティ情報をお知らせしてます
見つかったセキュリティ上の問題は、日々修正されています。プラグインやテーマのこまめなアップデートが、セキュリティ対策として不可欠です。
アップデートなんて面倒、誰かに任せたいと思ったら "プリケアWP" のご利用を!
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
|---|---|---|---|
| ID | 説明 | CVSS v3 ベーススコア | 情報元 |
| CVE-2024-9161 | WordPress 用のプラグイン Rank Math SEO - AI SEO Tools to Dominate SEO Rankings には、1.0.228 までのすべてのバージョンにおいて、'update_metadata' 関数の機能チェックが欠落しているため、不正な改変やデータ損失の脆弱性があります。これにより、認証されていない攻撃者は、'rank_math'で始まる新しいメタデータを挿入したり、既存のメタデータを更新したり、任意の既存のユーザーメタデータやタームメタデータを削除したりすることが可能になります。既存のユーザメタデータを削除すると、管理者を含む登録ユーザの管理者ダッシュボードへのアクセスが失われる可能性があります。 | 6.5 |
CVE 2025-01-13 09:00:07.598038 |
| CVE-2024-9417 | WordPress 用 Hash Form - Drag & Drop Form Builder プラグインは、1.1.9 までのすべてのバージョンにおいて、'handleUpload' 関数のファイルタイプ検証の設定ミスにより、ファイルのアップロードが制限される脆弱性があります。これにより、認証されていない攻撃者が、クロスサイトスクリプティングを含む可能性のあるファイルを含む、影響を受けるサイトのサーバ上の 'allowedExtensions' および 'unallowed_extensions' 配列の両方から除外されたファイルをアップロードすることが可能になります。 | 6.1 |
CVE 2025-01-13 09:00:07.595613 |
| CVE-2024-8486 | WordPress 用テーマプラグイン Shortcodes and extra features for Phlox には、入力のサニタイズと出力のエスケープが不十分なため、2.16.3 までのすべてのバージョンにおいて、Modern Heading および Icon Picker ウィジェットの 'url' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能となり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-13 03:00:13.772037 |
| CVE-2024-8743 | Bit File Manager - 100% Free & Open Source File Manager and Code Editor for WordPress plugin for WordPress には、6.5.7 までのすべてのバージョンにおいて、Limited JavaScript File Upload の脆弱性があります。これは、許可されたファイルタイプに関する適切なチェックの欠如によるものです。このため、サブスクライバレベル以上のアクセス権を持ち、管理者から権限を与えられた認証済みの攻撃者が .css および .js ファイルをアップロードすることが可能となり、蓄積型クロスサイトスクリプティングにつながる可能性があります。 | 6.8 |
CVE 2025-01-13 03:00:13.771290 |
| CVE-2024-9528 | Fluent Forms による WordPress 用 Contact Form Plugin for Quiz, Survey, Drag & Drop WP Form Builder プラグインは、5.1.19 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、フォームラベルフィールドを経由した Stored Cross-Site Scripting の脆弱性があります。このため、フォームの編集にアクセスできる認証済みの攻撃者 (デフォルトでは管理者) は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 4.9 |
CVE 2025-01-13 03:00:13.768708 |
| CVE-2024-9455 | WordPress 用 WP Cleanup and Basic Functions プラグインは、2.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-12 23:00:04.638011 |
| CVE-2024-9385 | WordPress 用 Themify Builder プラグインは、7.6.2 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 23:00:04.635090 |
| CVE-2024-8499 | WordPress 用 WooCommerce プラグインの Checkout Field Editor (Checkout Manager) には、2.0.3 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'render_review_request_notice' 関数を介した Reflected Cross-Site Scripting の脆弱性があります。このため、認証されていない攻撃者は、ユーザーを騙してリンクをクリックさせるなどのアクションを実行させることができれば、ページ内に任意のウェブ・スクリプトを注入して実行させることが可能です。 | 4.7 |
CVE 2025-01-12 09:00:15.231074 |
| CVE-2024-9271 | WordPress 用 Re:WP プラグインは、1.0.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-12 09:00:15.230261 |
| CVE-2024-9071 | Easy Demo Importer - A Modern One-Click Demo Import Solution plugin for WordPress は、1.1.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-12 09:00:15.227610 |
| CVE-2024-9435 | WordPress用のShiftController Employee Shift Schedulingプラグインは、入力のサニタイズと出力のエスケープが不十分なため、4.9.66までのすべてのバージョンで、URLキーを介して反射クロスサイトスクリプティングの脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.288905 |
| CVE-2024-9306 | WordPress 用 WP Booking Calendar プラグインは、10.6 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、管理者設定を経由した Stored Cross-Site Scripting の脆弱性があります。これにより、管理者レベル以上の権限を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。この問題は、マルチサイトのインストールと、unfiltered_html が無効になっているインストールにのみ影響します。さらに、サイト管理者は、プラグインの設定を管理するためのアクセス権を下層レベルのユーザに与えるオプションを持っており、これらのユーザにもこの脆弱性が及ぶ可能性があります。 | 4.4 |
CVE 2025-01-12 03:00:05.288116 |
| CVE-2024-9242 | WordPress 用の Memberful - Membership Plugin プラグインは、1.73.7 までのすべてのバージョンにおいて、入力のサニタイズとユーザが提供した属性の出力エスケープが不十分なため、プラグインの 'memberful_buy_subscription_link' および 'memberful_podcasts_link' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-12 03:00:05.287209 |
| CVE-2024-8804 | WordPress 用 Code Embed プラグインは、2.4 までのすべてのバージョンにおいて、プラグインのスクリプト埋め込み機能を介した Stored Cross-Site Scripting の脆弱性があります。このため、投稿者レベル以上のアクセス権を持つ認証された攻撃者は、任意のウェブスクリプトをページに注入することが可能で、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-12 03:00:05.285857 |
| CVE-2024-9445 | WordPress 用 Display Medium Posts プラグインは、5.0.1 までのすべてのバージョンにおいて、ユーザが提供した属性に対する入力のサニタイズと出力のエスケープが不十分なため、プラグインの display_medium_posts ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-12 03:00:05.285044 |
| CVE-2024-9421 | WordPress 用 Login Logout Shortcode プラグインは、1.1.0 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'class' パラメータを介した Stored Cross-Site Scripting の脆弱性があります。これにより、コントリビューターレベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-12 03:00:05.284256 |
| CVE-2024-9384 | WordPress 用 WooCommerce プラグイン Quantity Dynamic Pricing & Bulk Discounts には、3.8.0 までのすべてのバージョンで URL に適切なエスケープを施さずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.283376 |
| CVE-2024-9375 | Captcha Bank プラグインによる WordPress Captcha プラグインは、4.0.36 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.282611 |
| CVE-2024-9372 | WordPress 用プラグイン WP Blocks Hub には、1.0.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-12 03:00:05.281939 |
| CVE-2024-9368 | WordPress 用 Aggregator Advanced Settings プラグインは、1.2.1 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、SVG ファイルのアップロードを経由した Stored Cross-Site Scripting の脆弱性があります。このため、Author レベル以上のアクセス権を持つ認証済みの攻撃者は、ユーザが SVG ファイルにアクセスするたびに実行される任意のウェブスクリプトをページに注入することが可能です。 | 6.4 |
CVE 2025-01-12 03:00:05.280773 |
| CVE-2024-9353 | WordPress 用の Popularis Extra プラグインは、1.2.6 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg & remove_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをうまく騙すことができれば、実行するページ内に任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.280077 |
| CVE-2024-9349 | WordPress 用プラグイン Auto Amazon Links - Amazon Associates Affiliate Plugin には、5.4.2 までのすべてのバージョンにおいて、URL に適切なエスケープを施さずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、ユーザーを騙してリンクをクリックするなどのアクションを実行させることに成功した場合、ページ内に任意のウェブスクリプトを注入して実行することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.278227 |
| CVE-2024-9345 | WordPress 用 WooCommerce - Lite プラグイン Product Delivery Date には、2.7.3 までのすべてのバージョンにおいて、URL 上で適切なエスケープを行わずに add_query_arg を使用しているため、Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようにユーザーをだますことに成功した場合、実行するページで任意のウェブスクリプトを注入することが可能になります。これは、通知が存在する場合にのみ悪用可能です。 | 6.1 |
CVE 2025-01-12 03:00:05.277045 |
| CVE-2024-9237 | 魚と船 - 最も柔軟な出荷テーブルレート。WordPress 用の WooCommerce 送料プラグインは、1.5.9 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをだますことに成功した場合、実行するページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.275843 |
| CVE-2024-9204 | WordPress 用 Smart Custom 404 Error Page プラグインは、11.4.7 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、$_SERVER['REQUEST_URI']を介した Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.274766 |
| CVE-2024-8802 | WordPress 用 Clio Grow プラグインは、1.0.2 までのすべてのバージョンにおいて、 URL に適切なエスケープを施さずに add_query_arg を使用しているため、 Reflected Cross-Site Scripting の脆弱性があります。これにより、認証されていない攻撃者は、リンクをクリックするなどのアクションを実行するようユーザーをうまく騙すことができれば、実行されるページに任意のウェブスクリプトを注入することが可能になります。 | 6.1 |
CVE 2025-01-12 03:00:05.273342 |
| CVE-2024-8520 | WordPress 用プラグイン Ultimate Member - User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin には、2.8.6 までのすべてのバージョンにおいて Cross-Site Request Forgery の脆弱性があります。これは admin_init または user_action_hook 関数の nonce バリデーションが欠落しているか、正しくないことが原因です。これにより、認証されていない攻撃者が、リンクをクリックするなどのアクションを実行するようにサイト管理者を騙ることができ、付与された偽造リクエストによってユーザのメンバーシップステータスを変更することが可能になります。 | 5.3 |
CVE 2025-01-12 03:00:05.272004 |
| CVE-2024-8519 | WordPress 用プラグイン Ultimate Member - User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin には、2.8.6 までのすべてのバージョンにおいて、入力のサニタイズとユーザが指定した属性の出力エスケープが不十分なため、プラグインの 'um_loggedin' ショートコードを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、投稿者レベル以上のアクセス権を持つ認証された攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-12 03:00:05.268697 |
| CVE-2024-8352 | WordPress 用の Social Web Suite - Social Media Auto Post, Social Media Auto Publish プラグインは、4.1.11 までのすべてのバージョンにおいて、download_log 関数を経由したディレクトリトラバーサルの脆弱性があります。これにより、認証されていない攻撃者がサーバー上の任意のファイルの内容を読み取ることが可能となり、機密情報が含まれる可能性があります。 | 7.5 |
CVE 2025-01-11 03:00:05.514812 |
| CVE-2024-8505 | WordPress Infinite Scroll - Ajax Load More プラグインは、7.1.2 までのすべてのバージョンにおいて、入力のサニタイズと出力のエスケープが不十分なため、'button_label' パラメータを経由した Stored Cross-Site Scripting の脆弱性があります。これにより、Contributor レベル以上のアクセス権を持つ認証済みの攻撃者が、任意のウェブスクリプトをページに注入することが可能になり、ユーザーが注入されたページにアクセスするたびに実行されます。 | 6.4 |
CVE 2025-01-10 09:00:09.124028 |
セキュリティ情報は https://nvd.nist.gov/ の情報を元に提供しております。
Copyright © 2022 frame and surface.