Tech Insights

【CVE-2024-24741】WordPress KB Supportプラグインに脆弱性、バージョン1.6.8で修正完了

【CVE-2024-24741】WordPress KB Supportプラグインに脆弱性、バ...

WordPress用プラグイン「KB Support」にOpen Redirect脆弱性が発見された。この脆弱性はCVE-2024-24741として識別され、バージョン1.6.7以前に影響する。CVSS v3.1で中程度(4.7)と評価されており、攻撃者による信頼できないサイトへのリダイレクトが可能となる。開発者チームは既にバージョン1.6.8で修正を完了している。

【CVE-2024-24741】WordPress KB Supportプラグインに脆弱性、バ...

WordPress用プラグイン「KB Support」にOpen Redirect脆弱性が発見された。この脆弱性はCVE-2024-24741として識別され、バージョン1.6.7以前に影響する。CVSS v3.1で中程度(4.7)と評価されており、攻撃者による信頼できないサイトへのリダイレクトが可能となる。開発者チームは既にバージョン1.6.8で修正を完了している。

【CVE-2024-24593】WordPressプラグインEdwiser Bridgeに深刻なXSS脆弱性、バージョン3.1.0で修正完了

【CVE-2024-24593】WordPressプラグインEdwiser Bridgeに深刻...

WisdmLabs社が開発するWordPressプラグイン「Edwiser Bridge」のバージョン3.0.8以前に、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1(High)と評価される深刻な脆弱性で、Webページ生成時の入力の不適切な無害化が原因。すでにバージョン3.1.0で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2024-24593】WordPressプラグインEdwiser Bridgeに深刻...

WisdmLabs社が開発するWordPressプラグイン「Edwiser Bridge」のバージョン3.0.8以前に、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア7.1(High)と評価される深刻な脆弱性で、Webページ生成時の入力の不適切な無害化が原因。すでにバージョン3.1.0で修正済みだが、影響を受けるバージョンのユーザーは早急なアップデートが推奨される。

【CVE-2025-0806】code-projects Job Recruitment 1.0にXSS脆弱性、リモート攻撃のリスクで早急な対応が必要に

【CVE-2025-0806】code-projects Job Recruitment 1....

code-projects Job Recruitment 1.0の_call_job_search_ajax.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-0806として追跡されるこの脆弱性は、job_type引数の処理に関連しており、リモートから攻撃可能。CVSSスコア6.9でMEDIUMレベルの深刻度と評価され、特別な権限なしで攻撃を実行できる可能性があり、早急な対応が求められている。

【CVE-2025-0806】code-projects Job Recruitment 1....

code-projects Job Recruitment 1.0の_call_job_search_ajax.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。CVE-2025-0806として追跡されるこの脆弱性は、job_type引数の処理に関連しており、リモートから攻撃可能。CVSSスコア6.9でMEDIUMレベルの深刻度と評価され、特別な権限なしで攻撃を実行できる可能性があり、早急な対応が求められている。

【CVE-2024-24598】WP Mailster 1.8.17.0以前のバージョンに反射型XSS脆弱性、修正版の適用を推奨

【CVE-2024-24598】WP Mailster 1.8.17.0以前のバージョンに反射...

WordPressプラグインWP Mailsterにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.8.17.0以前が影響を受け、CVSSスコア7.1と評価される深刻な脆弱性となっている。修正版となるバージョン1.8.18.0が提供されており、早急なアップデートが推奨される。攻撃成功時には情報漏洩やシステムの整合性に影響を及ぼす可能性がある。

【CVE-2024-24598】WP Mailster 1.8.17.0以前のバージョンに反射...

WordPressプラグインWP Mailsterにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。バージョン1.8.17.0以前が影響を受け、CVSSスコア7.1と評価される深刻な脆弱性となっている。修正版となるバージョン1.8.18.0が提供されており、早急なアップデートが推奨される。攻撃成功時には情報漏洩やシステムの整合性に影響を及ぼす可能性がある。

【CVE-2025-0464】SourceCodester Task Reminder System 1.0にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクに警戒

【CVE-2025-0464】SourceCodester Task Reminder Sys...

SourceCodester社のTask Reminder System 1.0においてクロスサイトスクリプティングの脆弱性が発見された。Maintenance SectionのSystem Name引数を操作することで攻撃が可能で、既に公開されている状態。CVSSスコアは最新のバージョン4.0で5.1(MEDIUM)と評価されており、早急な対応が推奨される。影響を受けるバージョンを使用している組織は注意が必要だ。

【CVE-2025-0464】SourceCodester Task Reminder Sys...

SourceCodester社のTask Reminder System 1.0においてクロスサイトスクリプティングの脆弱性が発見された。Maintenance SectionのSystem Name引数を操作することで攻撃が可能で、既に公開されている状態。CVSSスコアは最新のバージョン4.0で5.1(MEDIUM)と評価されており、早急な対応が推奨される。影響を受けるバージョンを使用している組織は注意が必要だ。

【CVE-2024-13517】Easy Digital Downloads 3.3.2以前にXSS脆弱性、マルチサイト環境での攻撃リスクが判明

【CVE-2024-13517】Easy Digital Downloads 3.3.2以前に...

WordPressプラグイン「Easy Digital Downloads」において、タイトル値を介したストアドXSS脆弱性が発見された。この脆弱性は3.3.2以前のバージョンに影響を与え、マルチサイトインストールとunfiltered_htmlが無効化された環境で、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.4で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2024-13517】Easy Digital Downloads 3.3.2以前に...

WordPressプラグイン「Easy Digital Downloads」において、タイトル値を介したストアドXSS脆弱性が発見された。この脆弱性は3.3.2以前のバージョンに影響を与え、マルチサイトインストールとunfiltered_htmlが無効化された環境で、管理者権限を持つユーザーによる攻撃が可能となる。CVSSスコアは4.4で中程度の深刻度と評価されており、早急な対応が推奨される。

【CVE-2025-21262】Microsoft Edge Chromiumにスプーフィング脆弱性、UIの重要情報表示に関する深刻な問題が発覚

【CVE-2025-21262】Microsoft Edge Chromiumにスプーフィング...

MicrosoftはEdge Chromiumにおけるユーザーインターフェースの重要情報表示に関するスプーフィング脆弱性【CVE-2025-21262】を公表した。バージョン1.0.0から132.0.2957.127未満が影響を受け、攻撃者によるネットワーク経由でのスプーフィング攻撃が可能となる。CVSSスコアは5.4で中程度の深刻度と評価され、特権は不要だがユーザーの操作を必要とする特徴がある。

【CVE-2025-21262】Microsoft Edge Chromiumにスプーフィング...

MicrosoftはEdge Chromiumにおけるユーザーインターフェースの重要情報表示に関するスプーフィング脆弱性【CVE-2025-21262】を公表した。バージョン1.0.0から132.0.2957.127未満が影響を受け、攻撃者によるネットワーク経由でのスプーフィング攻撃が可能となる。CVSSスコアは5.4で中程度の深刻度と評価され、特権は不要だがユーザーの操作を必要とする特徴がある。

【CVE-2025-0800】SourceCodester Online Courseware 1.0でクロスサイトスクリプティングの脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2025-0800】SourceCodester Online Courseware...

SourceCodester Online Courseware 1.0のEdit Teacher機能において、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は【CVE-2025-0800】として識別され、CVSS 4.0でMediumレベル(スコア5.1)と評価されている。fnameパラメータを経由したリモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が必要とされている。教育機関のセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-0800】SourceCodester Online Courseware...

SourceCodester Online Courseware 1.0のEdit Teacher機能において、クロスサイトスクリプティングの脆弱性が発見された。この脆弱性は【CVE-2025-0800】として識別され、CVSS 4.0でMediumレベル(スコア5.1)と評価されている。fnameパラメータを経由したリモートからの攻撃が可能で、既に攻撃コードが公開されているため、早急な対応が必要とされている。教育機関のセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2025-24559】WP Mailster 1.8.15.0以前にXSS脆弱性が発見、修正版の早急な適用が必要に

【CVE-2025-24559】WP Mailster 1.8.15.0以前にXSS脆弱性が発...

WordPressプラグインWP Mailsterにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-24559として識別されたこの脆弱性は、Webページ生成時における入力の不適切な無害化に起因しており、CVSSスコアは7.1(High)と評価されている。影響を受けるバージョンは1.8.15.0以前で、修正版となる1.8.16.0が提供されている。

【CVE-2025-24559】WP Mailster 1.8.15.0以前にXSS脆弱性が発...

WordPressプラグインWP Mailsterにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-24559として識別されたこの脆弱性は、Webページ生成時における入力の不適切な無害化に起因しており、CVSSスコアは7.1(High)と評価されている。影響を受けるバージョンは1.8.15.0以前で、修正版となる1.8.16.0が提供されている。

【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリティ機能が大幅に強化

【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリテ...

Appleは2025年1月27日、macOS Sequoia、Safari、iOS、iPadOSの最新バージョンにおいて、アドレスバー偽装の脆弱性に対する修正を含むセキュリティアップデートを公開した。CVSSスコア4.3の中程度の脆弱性で、悪意のあるWebサイトを通じてアドレスバーの表示が改ざんされる可能性があったが、追加のロジック実装により対処された。

【CVE-2025-24128】Appleが主要製品のアドレスバー偽装脆弱性を修正、セキュリテ...

Appleは2025年1月27日、macOS Sequoia、Safari、iOS、iPadOSの最新バージョンにおいて、アドレスバー偽装の脆弱性に対する修正を含むセキュリティアップデートを公開した。CVSSスコア4.3の中程度の脆弱性で、悪意のあるWebサイトを通じてアドレスバーの表示が改ざんされる可能性があったが、追加のロジック実装により対処された。

【CVE-2025-0844】needyamin Library Card System 1.0にクロスサイトスクリプティングの脆弱性、複数のパラメータに影響

【CVE-2025-0844】needyamin Library Card System 1....

needyamin Library Card System 1.0のRegistration Pageにおいて、signup.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。firstname、lastname、email、borrow、user_addressの各パラメータが影響を受け、リモートからの攻撃が可能である。CVSS 4.0で6.9(MEDIUM)のスコアが付けられており、特権は不要だがユーザーの関与が必要とされている。

【CVE-2025-0844】needyamin Library Card System 1....

needyamin Library Card System 1.0のRegistration Pageにおいて、signup.phpファイルにクロスサイトスクリプティングの脆弱性が発見された。firstname、lastname、email、borrow、user_addressの各パラメータが影響を受け、リモートからの攻撃が可能である。CVSS 4.0で6.9(MEDIUM)のスコアが付けられており、特権は不要だがユーザーの関与が必要とされている。

【CVE-2025-0510】Thunderbirdに送信者アドレス表示の脆弱性、バージョン128.7と135未満に影響

【CVE-2025-0510】Thunderbirdに送信者アドレス表示の脆弱性、バージョン1...

Mozilla Corporationは2025年2月4日、メールクライアントソフトウェアThunderbirdにおいて送信者アドレスの表示に関する脆弱性を公開した。CVE-2024-49040で説明される無効なグループ名構文を使用した場合に発生し、メールの送信者アドレスが誤って表示される問題。Thunderbird 128.7未満および135未満のバージョンが影響を受け、CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2025-0510】Thunderbirdに送信者アドレス表示の脆弱性、バージョン1...

Mozilla Corporationは2025年2月4日、メールクライアントソフトウェアThunderbirdにおいて送信者アドレスの表示に関する脆弱性を公開した。CVE-2024-49040で説明される無効なグループ名構文を使用した場合に発生し、メールの送信者アドレスが誤って表示される問題。Thunderbird 128.7未満および135未満のバージョンが影響を受け、CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-13458】WordPress SEO Friendly Accordion FAQプラグインに認証済XSS脆弱性、Contributor権限で任意コード実行の危険性

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13458】WordPress SEO Friendly Accordio...

WordPressプラグイン「SEO Friendly Accordion FAQ with AI assisted content generation」にクロスサイトスクリプティングの脆弱性が発見された。バージョン2.2.1以前が影響を受け、Contributor以上の権限を持つ攻撃者が任意のスクリプトを実行可能。CVSSスコアは6.4でMediumレベルの深刻度。プラグインの「noticefaq」ショートコードにおける入力値の不適切な処理が原因。

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆弱性が発見、WordPress投稿者権限で悪用の可能性

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆...

WordPressプラグイン「WE - Testimonial Slider」のバージョン1.5以前に格納型XSS脆弱性が発見された。CVE-2024-13460として識別されるこの脆弱性は、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、testimonial authorの名前フィールドを介した攻撃が可能となっている。

【CVE-2024-13460】WE - Testimonial Sliderに格納型XSS脆...

WordPressプラグイン「WE - Testimonial Slider」のバージョン1.5以前に格納型XSS脆弱性が発見された。CVE-2024-13460として識別されるこの脆弱性は、投稿者以上の権限を持つユーザーが悪意のあるスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度と評価され、testimonial authorの名前フィールドを介した攻撃が可能となっている。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性、認証済みユーザーからの攻撃に警戒

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13551】ABC Notationプラグイン6.1.3以前にXSS脆弱性...

WordPressプラグインのABC Notationにおいて、バージョン6.1.3以前のすべてのバージョンに影響を及ぼす格納型クロスサイトスクリプティングの脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つ認証済みユーザーが任意のWebスクリプトを実行可能となり、CVSS v3.1で深刻度「MEDIUM」、スコア6.4と評価されている。影響範囲は機密性と整合性に限定されるものの、早急な対応が求められる。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆弱性を発見、貢献者以上の権限で悪用の可能性

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13586】WordPress用Masy Gallery 1.7でXSS脆...

WordPressプラグインのMasy Gallery 1.7以前のバージョンにおいて、Stored XSSの脆弱性が発見された。この脆弱性はjustified-galleryショートコードにおける不適切な入力サニタイズに起因しており、貢献者レベル以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる問題が存在する。CVSS v3.1で6.4(中程度)と評価されており、早急な対応が推奨される。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済みXSS脆弱性、バージョン1.4.7以前が影響を受ける

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2024-13642】Stratum - Elementor Widgetsに認証済...

WordPressプラグインStratum - Elementor Widgetsにおいて、認証済みユーザーによるストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13642】として識別され、バージョン1.4.7以前の全バージョンに影響を与える。投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、CVSS v3.1では深刻度「MEDIUM」でスコア6.4と評価されている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻なXSS脆弱性、早急な対策が必要に

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2025-0860】WordPressプラグインVR-Frases 3.0.1に深刻...

WordPressプラグインVR-Frases(collect & share quotes)において、バージョン3.0.1以前に反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア6.1の中程度の深刻度と評価される脆弱性で、未認証の攻撃者が任意のWebスクリプトを注入可能。ユーザーの操作を介して実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、未認証ユーザーによる任意のメール送信が可能に

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前において、未認証ユーザーが任意のメールを送信できる重大な脆弱性が発見された。CVE-2024-13371として識別されるこの脆弱性は、sendEmailToJobSeeker()関数における認証チェックの欠如に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。プラグインを導入しているWordPressサイトでは、早急なアップデートが推奨される。

【CVE-2024-13371】WP Job Portal 2.2.6に認証バイパスの脆弱性、...

WordPressプラグイン「WP Job Portal」のバージョン2.2.6以前において、未認証ユーザーが任意のメールを送信できる重大な脆弱性が発見された。CVE-2024-13371として識別されるこの脆弱性は、sendEmailToJobSeeker()関数における認証チェックの欠如に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。プラグインを導入しているWordPressサイトでは、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にXSS脆弱性、貢献者権限で悪用の可能性

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13389】WordPressプラグインCliptakes 1.3.4にX...

WordPressプラグインCliptakesの1.3.4以前のバージョンにおいて、クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13389として識別され、CVSSスコア6.4の中程度の深刻度と評価されている。貢献者以上の権限を持つユーザーによって悪用される可能性があり、任意のスクリプト実行が可能となるため、早急なアップデートが推奨される。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権限を持つユーザーによる不正スクリプト実行が可能に

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13441】Bilingual Linker 2.4以前にXSS脆弱性、権...

WordPressプラグインBilingual Linkerのバージョン2.4以前において、認証済みユーザーによる格納型クロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2024-13441として識別され、CVSSスコア6.4で深刻度は中程度と評価されている。Contributor以上の権限を持つユーザーが悪用可能で、ページにアクセスしたユーザーの環境でスクリプトが実行される危険性がある。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にXSS脆弱性、投稿者権限で任意のスクリプト実行が可能に

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13548】Power Ups for Elementor 1.2.2にX...

WordfenceはWordPress用プラグインPower Ups for Elementorにおいて、クロスサイトスクリプティングの脆弱性を発見した。この脆弱性は、プラグインのmagic-buttonショートコードにおける入力サニタイズと出力エスケープの不備に起因しており、投稿者以上の権限を持つ認証済みユーザーが任意のWebスクリプトを注入できる状態となっている。影響を受けるバージョンは1.2.2以前のすべてだ。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13505】WordPress用プラグインSurvey Makerに重大な...

WordPressのアンケート作成プラグインSurvey Makerにおいて、バージョン5.1.3.3以前に深刻な脆弱性が発見された。この脆弱性により、管理者権限を持つ攻撃者が任意のWebスクリプトを挿入可能となっている。マルチサイトインストール環境とunfiltered_html機能が無効化された環境に影響を及ぼすため、早急な対応が求められている。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordPress環境のセキュリティリスクが浮き彫りに

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13670】Music Sheet ViewerのXSS脆弱性、WordP...

WordPressプラグインのMusic Sheet Viewerにおいて、バージョン4.1以前に深刻なクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入できる状態にあり、CVSSスコアは6.4(MEDIUM)と評価されている。影響を受けるバージョンは4.1以前のすべてのバージョンで、開発元のefrejaによる対策版のリリースが待たれる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョンにXSS脆弱性、認証済みユーザーによる攻撃のリスクが発生

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13664】WP Post List Table 1.0.3以前のバージョ...

WordPressプラグインのWP Post List Tableにおいて、バージョン1.0.3以前に深刻なXSS(クロスサイトスクリプティング)の脆弱性が発見された。この脆弱性はCVE-2024-13664として識別され、CVSS3.1スコアは6.4(MEDIUM)となっている。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを挿入できる状態であり、早急な対応が求められる。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、クロスサイトスクリプティングの危険性が浮上

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-13661】WordPressプラグインTable Editorに脆弱性、...

WordPressプラグインTable Editorのバージョン1.5.1以前において、wptableeditor_vtabsショートコードに関連するクロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーによって悪用される可能性があり、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は【CVE-2024-13661】として識別され、Peter Thaleikisによって発見された。

【CVE-2024-13404】WordPress用プラグインLink Library 7.7.2にXSS脆弱性、認証不要で攻撃実行の可能性

【CVE-2024-13404】WordPress用プラグインLink Library 7.7...

WordPressプラグインLink Libraryのバージョン7.7.2以前において、Reflected Cross-Site Scriptingの脆弱性が発見された。searchllパラメータにおける入力サニタイズと出力エスケープの不備により、認証されていない攻撃者が悪意のあるWebスクリプトを注入できる可能性がある。CVSSスコアは6.1でMedium評価とされ、影響範囲には機密性と完全性が含まれている。

【CVE-2024-13404】WordPress用プラグインLink Library 7.7...

WordPressプラグインLink Libraryのバージョン7.7.2以前において、Reflected Cross-Site Scriptingの脆弱性が発見された。searchllパラメータにおける入力サニタイズと出力エスケープの不備により、認証されていない攻撃者が悪意のあるWebスクリプトを注入できる可能性がある。CVSSスコアは6.1でMedium評価とされ、影響範囲には機密性と完全性が含まれている。

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆弱性、Contributor権限で悪用可能に

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆...

WordPressプラグイン「MDTF – Meta Data and Taxonomies Filter」のバージョン1.3.3.6以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は「mdf_results_by_ajax」ショートコードの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が必要とされている。

【CVE-2024-13340】WordPressプラグインMDTF 1.3.3.6にXSS脆...

WordPressプラグイン「MDTF – Meta Data and Taxonomies Filter」のバージョン1.3.3.6以前に、クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが悪意のあるスクリプトを注入可能で、CVSSスコアは6.4(MEDIUM)と評価されている。この脆弱性は「mdf_results_by_ajax」ショートコードの入力サニタイズと出力エスケープの不備に起因しており、早急な対応が必要とされている。

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆弱性、バージョン9.8.6以前が影響を受ける状態に

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆...

WordPressプラグインStageShowにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13705】として識別され、バージョン9.8.6以前の全てのバージョンで、URLの適切なエスケープ処理が行われていないことが原因である。未認証の攻撃者がリンクのクリックなどのユーザーアクションを誘導することで、任意のWebスクリプトを実行可能になる。

【CVE-2024-13705】WordPressプラグインStageShowに反射型XSS脆...

WordPressプラグインStageShowにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性は【CVE-2024-13705】として識別され、バージョン9.8.6以前の全てのバージョンで、URLの適切なエスケープ処理が行われていないことが原因である。未認証の攻撃者がリンクのクリックなどのユーザーアクションを誘導することで、任意のWebスクリプトを実行可能になる。

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blocks 1.3.26にXSS脆弱性、Contributorレベル以上で攻撃可能に

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blo...

WordPressプラグイン「All Bootstrap Blocks」のバージョン1.3.26以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。Wordfenceの報告によると、この脆弱性はContributorレベル以上の権限を持つユーザーがAccordionウィジェットを介して任意のスクリプトを実行可能で、CVSSスコア6.4の中程度の深刻度と評価されている。

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blo...

WordPressプラグイン「All Bootstrap Blocks」のバージョン1.3.26以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。Wordfenceの報告によると、この脆弱性はContributorレベル以上の権限を持つユーザーがAccordionウィジェットを介して任意のスクリプトを実行可能で、CVSSスコア6.4の中程度の深刻度と評価されている。