Tech Insights

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティング脆弱性、早急な対応が必要に

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0521】Post SMTPプラグインに未認証のクロスサイトスクリプティン...

WordPressプラグインのPost SMTP 3.0.2以前のバージョンに、未認証の攻撃者によるクロスサイトスクリプティングの脆弱性が発見された。fromとsubjectパラメータの入力検証と出力エスケープが不十分であり、CVSSスコア7.2のHigh評価とされている。この脆弱性により、攻撃者が任意のスクリプトを注入し、ユーザーのブラウザ上で実行される可能性がある。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済みユーザーによるリモートコード実行の危険性が発覚

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0366】Jupiter X Core 4.8.7にLFI脆弱性、認証済み...

WordPressプラグインのJupiter X Core 4.8.7以前のバージョンに、ローカルファイルインクルージョン(LFI)からリモートコード実行につながる重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが、SVGファイルのアップロードを通じて任意のコードを実行できる状態となっており、CVSSスコア8.8(High)と評価される深刻な問題となっている。早急なアップデートが推奨される。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサルの脆弱性、WordPressサイトのセキュリティリスクが深刻化

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0365】Jupiter X Core 4.8.7にディレクトリトラバーサ...

WordPressプラグインのJupiter X Coreにディレクトリトラバーサル脆弱性が発見された。バージョン4.8.7以前が影響を受け、Contributor以上の権限を持つユーザーがサーバー上の任意のファイルを読み取り可能となる。CVSSスコアは6.5(MEDIUM)で、攻撃条件の複雑さは低く、特権レベルも低いため、早急な対応が必要となる。発見者はMatthew Rollingsで、【CVE-2025-0365】として特定されている。

【CVE-2025-0352】Rapid Response MonitoringのMy Security Account Appに認証バイパスの脆弱性、他ユーザー情報へのアクセスが可能に

【CVE-2025-0352】Rapid Response MonitoringのMy Sec...

ICS-CERTは2025年2月20日、Rapid Response MonitoringのMy Security Account AppのAPIに認証バイパスの脆弱性が存在することを発表した。CVE-2025-0352として識別されたこの脆弱性は、ユーザー制御キーを介した認証バイパスとして分類され、CVSS 3.1で7.5のHighスコアを記録。2024年7月29日以前のバージョンが影響を受け、攻撃者によるリクエストデータの改変で他ユーザーの情報にアクセスできる可能性がある。

【CVE-2025-0352】Rapid Response MonitoringのMy Sec...

ICS-CERTは2025年2月20日、Rapid Response MonitoringのMy Security Account AppのAPIに認証バイパスの脆弱性が存在することを発表した。CVE-2025-0352として識別されたこの脆弱性は、ユーザー制御キーを介した認証バイパスとして分類され、CVSS 3.1で7.5のHighスコアを記録。2024年7月29日以前のバージョンが影響を受け、攻撃者によるリクエストデータの改変で他ユーザーの情報にアクセスできる可能性がある。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサルの脆弱性、制限ディレクトリへの不正アクセスのリスクに対処

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2025-0332】Progress UI For WinFormsにパストラバーサ...

Progress SoftwareのTelerik UI for WinFormsにおいて、バージョン2025 Q1(2025.1.211)より前のバージョンでパストラバーサル脆弱性が発見された。CVE-2025-0332として識別されるこの脆弱性は、アーカイブの内容が制限されたディレクトリに展開される可能性があり、CVSSスコア7.8(High)と評価されている。Progress Softwareは2025年2月12日に脆弱性情報を公開し、最新バージョンへのアップデートを推奨している。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファイル読み取りの脆弱性、管理インターフェースのセキュリティに影響

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2025-0111】Palo Alto Networks PAN-OSに認証済みファ...

Palo Alto NetworksのPAN-OSソフトウェアに認証済みファイル読み取りの脆弱性が発見された。この脆弱性により、管理Webインターフェースにアクセス可能な認証済み攻撃者がPAN-OSファイルシステム上のファイルを読み取ることが可能となる。影響を受けるバージョンは10.1、10.2、11.1、11.2の特定バージョンで、Cloud NGFWとPrisma Accessは影響を受けない。早急なパッチ適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆弱性、遠隔からの攻撃が可能に

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-57602】EasyAppointments v.1.5.0に特権昇格の脆...

MITREは2025年2月12日、Alex Tselegidis氏が開発したEasyAppointments v.1.5.0に特権昇格の脆弱性が存在することを公表した。CVE-2024-57602として識別されたこの脆弱性は、遠隔の攻撃者がindex.phpファイルを介して特権昇格を実行できるという深刻な問題で、製品のステータス情報が明確に提供されていない状態となっている。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画像アップロード機能に深刻な問題

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-56940】LearnDash v6.7.1にDoS脆弱性、プロフィール画...

MITREが2025年2月12日に公開したLearnDash v6.7.1の脆弱性情報によると、プロフィール画像アップロード機能に深刻な問題が発見された。過剰なファイルアップロードによってサービス拒否攻撃(DoS)が可能となっており、攻撃の自動化も可能とされている。CISAの評価では脆弱性の悪用が容易で、システムの可用性に重大な影響を及ぼす可能性が指摘されている。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、教育プラットフォームのセキュリティ強化が急務に

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56939】LearnDash v6.7.1にストアドXSS脆弱性が発見、...

2025年2月12日、教育用プラットフォームLearnDash v6.7.1においてストアドクロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はld-comment-bodyクラスに存在し、CVSSスコアは5.4(Medium)と評価されている。CISAによる分析では技術的影響は部分的とされ、エクスプロイトの自動化の可能性は低いとされているが、教育プラットフォームのセキュリティ管理の重要性を再認識させる事態となっている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教育システムのセキュリティに警鐘

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-56938】LearnDash v6.7.1で格納型XSS脆弱性が発見、教...

教育用学習管理システムLearnDash v6.7.1において、materials-contentクラスに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4(MEDIUM)と評価され、特権アカウントを必要とするものの攻撃の自動化が可能であり、システムの信頼性に影響を与える可能性が指摘されている。CISAによる追加評価でも部分的な技術的影響が確認され、早急な対応が求められている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに重大な脆弱性、内部サービスへの不正アクセスのリスクが発生

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13834】WordPress用プラグインResponsive Plusに...

WordPressのテーマ用プラグイン「Responsive Plus」のversion 3.1.4以前にSSRF脆弱性が発見された。CVE-2024-13834として識別されるこの脆弱性により、認証済みユーザーが内部サービスに不正アクセスし情報を改ざんする可能性がある。CVSSスコアは5.4で中程度の深刻度と評価されており、開発元のcyberchimpsが対応を進めている。

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパスの脆弱性、予約情報の改ざんリスクが浮上

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパ...

WordPressプラグイン「WP Booking Calendar」のバージョン10.10以前に、予約情報の変更時に再認証が適切に要求されない脆弱性が発見された。未認証の攻撃者が承認済みの予約を操作可能となる深刻な問題で、CVSSスコアは5.3(Medium)と評価されている。脆弱性はCWE-285に分類され、Wordfenceが2025年2月12日に情報を公開した。

【CVE-2024-13821】WP Booking Calendar 10.10に認証バイパ...

WordPressプラグイン「WP Booking Calendar」のバージョン10.10以前に、予約情報の変更時に再認証が適切に要求されない脆弱性が発見された。未認証の攻撃者が承認済みの予約を操作可能となる深刻な問題で、CVSSスコアは5.3(Medium)と評価されている。脆弱性はCWE-285に分類され、Wordfenceが2025年2月12日に情報を公開した。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の脆弱性、サービス拒否攻撃のリスクで早急な対応が必要

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13800】WordPressプラグインConvertPlusに認証不備の...

WordPressプラグインConvertPlusのバージョン3.5.30以前に、認証機能の不備による重大な脆弱性が発見された。Subscriber以上の権限を持つユーザーがオプション値を不正に変更可能で、サービス拒否攻撃や不正なユーザー登録のリスクがある。CVSSスコア8.1と高く評価されており、早急な対応が求められている。

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理者権限で重要情報漏洩の危険性

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理...

WordPressプラグインのBit Assistにパストラバーサルの脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のファイル内容を読み取ることが可能となる。CVSSスコアは4.9でMEDIUMレベルと評価され、重要情報漏洩のリスクが指摘されている。

【CVE-2024-13791】Bit Assistプラグインにパストラバーサルの脆弱性、管理...

WordPressプラグインのBit Assistにパストラバーサルの脆弱性が発見された。バージョン1.5.2以前のすべてのバージョンが影響を受け、管理者以上の権限を持つ攻撃者がサーバー上の任意のファイル内容を読み取ることが可能となる。CVSSスコアは4.9でMEDIUMレベルと評価され、重要情報漏洩のリスクが指摘されている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデータへの不正アクセスが可能に

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13783】FormCraft 3.9.11に認証機能の欠陥、プラグインデ...

WordPressプラグインFormCraftにおいて、バージョン3.9.11以前に認証機能の欠陥が発見された。この脆弱性により、購読者レベル以上の権限を持つユーザーがプラグインデータを不正にエクスポート可能となっている。CVSS 3.1で中程度(4.3点)と評価され、フォーム送信データなどの機密情報漏洩のリスクが指摘されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Subscriber権限で設定変更が可能に

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13769】WordPressテーマPuzzlesに認証不備の脆弱性、Su...

ThemeREX社のWordPressテーマPuzzlesにおいて、重大な認証不備の脆弱性が発見された。Subscriber以上の権限を持つユーザーがプラグインの設定を変更し悪意のあるスクリプトを注入できる状態となっている。開発元は対応としてリポジトリからソフトウェアを削除しており、バージョン4.2.4以前の全てのバージョンが影響を受ける。代替ソフトウェアへの移行が推奨されている。

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパスの脆弱性、DoS攻撃のリスクで早急な対応が必要

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパ...

WordPressプラグイン「WP Project Manager」のバージョン2.6.17以前に、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが設定を不正に変更可能となり、永続的なDoS状態を引き起こす可能性がある。CVSSスコア6.5で深刻度「MEDIUM」と評価され、既に修正版となるバージョン2.6.18がリリースされている。

【CVE-2024-13752】WP Project Manager 2.6.17に認証バイパ...

WordPressプラグイン「WP Project Manager」のバージョン2.6.17以前に、認証バイパスの脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つユーザーが設定を不正に変更可能となり、永続的なDoS状態を引き起こす可能性がある。CVSSスコア6.5で深刻度「MEDIUM」と評価され、既に修正版となるバージョン2.6.18がリリースされている。

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Subscriber権限で任意のリクエストが可能に

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Sub...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.2以前に、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが、pm_upload_image関数を悪用することで任意のURLへのリクエストが可能となり、画像のダウンロードや非画像ファイルの存在確認が実行可能な状態。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13741】ProfileGrid 5.9.4.2にSSRF脆弱性、Sub...

WordPressプラグイン「ProfileGrid」のバージョン5.9.4.2以前に、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが、pm_upload_image関数を悪用することで任意のURLへのリクエストが可能となり、画像のダウンロードや非画像ファイルの存在確認が実行可能な状態。CVSSスコアは5.4(MEDIUM)と評価されている。

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライベートメッセージ閲覧の脆弱性が発見、情報漏洩のリスクに警戒

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.2以前に、不適切な直接オブジェクト参照(IDOR)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが他者のプライベートメッセージを閲覧可能な状態となっており、情報漏洩のリスクが指摘されている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13740】ProfileGrid 5.9.4.2以前のバージョンでプライ...

WordPressプラグイン「ProfileGrid - User Profiles, Groups and Communities」のバージョン5.9.4.2以前に、不適切な直接オブジェクト参照(IDOR)の脆弱性が発見された。Subscriber以上の権限を持つユーザーが他者のプライベートメッセージを閲覧可能な状態となっており、情報漏洩のリスクが指摘されている。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの脆弱性、管理者の操作を悪用した攻撃のリスク

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13684】WordPressプラグインResetにデータベースリセットの...

WordFenceは2025年2月18日、WordPressプラグイン「Reset」のバージョン1.6以前に深刻な脆弱性が存在することを公開した。この脆弱性は未認証の攻撃者が管理者に偽装したリンクをクリックさせることで、データベーステーブルを再設定可能となる。CVSSスコアは8.1と高く評価されており、reset_db_page()関数における不適切なnonceバリデーションが原因とされている。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な脆弱性、任意のファイル読み取りが可能に

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13681】WordPressテーマUncode2.9.1.6以前に深刻な...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に任意のファイル読み取りを可能にする重大な脆弱性が発見された。この脆弱性はCVE-2024-13681として識別され、CVSSスコア7.5の高リスク評価となっている。未認証の攻撃者がサーバー上の任意のファイルを読み取ることが可能となるため、影響を受けるバージョンを使用しているサイト管理者は直ちにアップデートを実施することが推奨される。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユーザーによる攻撃が可能に

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13667】WordPressテーマUncodeに重大な脆弱性、認証済みユ...

WordPressテーマのUncodeにおいて、バージョン2.9.1.6以前に深刻な脆弱性が発見された。mle-descriptionパラメータを介したストアドクロスサイトスクリプティングの脆弱性により、認証済みユーザーが任意のWebスクリプトを注入可能。CVSSスコアは5.4で中程度の深刻度と評価されているが、影響範囲は複数のコンポーネントに及ぶ可能性がある。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6にXSS脆弱性が発見、Contributor権限で不正スクリプト実行が可能に

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13665】WordPressプラグインAdmire Extra 1.6に...

WordPressプラグインAdmire Extraのバージョン1.6以下において、spaceショートコードの入力検証不備により格納型XSS脆弱性が発見された。CVSS評価6.4の中程度の脆弱性で、Contributor以上の権限を持つ攻撃者が任意のスクリプトを注入可能。当該ページにアクセスした他のユーザーの環境でスクリプトが実行される可能性があり、早急なアップデートが推奨される。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆弱性、認証なしでファイルアクセスが可能に

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13600】Majestic Supportプラグインに重大な情報漏洩の脆...

WordPressプラグイン「Majestic Support」のバージョン1.0.5以前に、認証なしで機密情報にアクセスできる重大な脆弱性が発見された。CVSSスコア7.5(High)と評価されたこの脆弱性により、サポートチケットの添付ファイルが第三者に閲覧可能な状態となっている。脆弱性は「majesticsupportdata」ディレクトリの保護が不十分であることに起因しており、早急な対応が必要とされている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証済みユーザーによる攻撃が可能に

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13576】Gumlet Video 1.0.3にXSS脆弱性が発見、認証...

WordPressプラグインのGumlet Video 1.0.3以前のバージョンにおいて、格納型クロスサイトスクリプティングの脆弱性が発見された。Contributor以上の権限を持つユーザーが、gumletショートコードを介して悪意のあるスクリプトを注入可能で、CVSSスコアは6.4と評価。この脆弱性はCVE-2024-13576として識別され、プラグインの更新による対応が必要となっている。

【CVE-2024-13573】WordPressプラグインZigaform Form Builder Liteに深刻な脆弱性、早急な対応が必要

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13573】WordPressプラグインZigaform Form Bui...

WordPressプラグイン「Zigaform Form Builder Lite」にContributor以上の権限を持つユーザーが悪用可能な格納型クロスサイトスクリプティング脆弱性が発見された。バージョン7.4.2以前のすべてのバージョンが影響を受け、CVSSスコア6.4の中程度の深刻度と評価されている。悪意のあるスクリプトが注入された場合、ページにアクセスしたユーザーの環境で実行される可能性がある。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻撃者による投稿順序操作の危険性

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13554】WP Extended 3.0.13に認証機能の不備、未認証攻...

WordPressプラグイン「The Ultimate WordPress Toolkit - WP Extended」のバージョン3.0.13以前に重大な脆弱性が発見された。reorder_route()関数における認証チェックの欠如により、未認証の攻撃者が投稿順序を操作可能となっている。CVSS v3.1で5.3のミディアムレベルと評価され、早急な対応が必要とされている。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バージョン2.5.1以前に影響

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13540】WooODT Liteプラグインにフルパス情報漏洩の脆弱性、バ...

WordPressのWooODT Liteプラグインにおいて、バージョン2.5.1以前の全バージョンでフルパス情報漏洩の脆弱性が発見された。CVSSスコア5.3(MEDIUM)と評価され、認証なしでアクセス可能な状態での情報漏洩リスクが存在する。この脆弱性単体での直接的な被害は限定的だが、他の脆弱性と組み合わさることで攻撃に悪用される可能性があり、影響を受けるバージョンのユーザーは注意が必要である。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4以前にXSS脆弱性、管理者権限での設定変更とスクリプト注入の危険性

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13523】WordPressプラグインMemorialDay 1.0.4...

WordPressプラグインMemorialDayのバージョン1.0.4以前において、クロスサイトリクエストフォージェリからクロスサイトスクリプティングに繋がる重大な脆弱性が発見された。この脆弱性はCVE-2024-13523として識別され、CVSSスコア6.1のMedium評価となっている。攻撃者は管理者の操作を誘導することで設定変更や悪意のあるスクリプトの注入が可能となるため、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回避の脆弱性、未認証での情報改ざんが可能に

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。

【CVE-2024-13520】WooCommerceのGift Cardsプラグインに認証回...

WordPressのGift Cards (WooCommerce Supported)プラグインにおいて、バージョン4.4.6以前に認証回避の脆弱性が発見された。未認証の攻撃者がギフトカードの価格、有効期限、ユーザーノートを改変可能な状態にあり、CVSSスコアは5.3(MEDIUM)と評価されている。CWE-862に分類されるこの脆弱性は、早急な対応が必要とされている。