Tech Insights

【CVE-2024-13748】Ultimate Classified Listings 1.4に格納型XSS脆弱性、マルチサイト環境での影響に注意

【CVE-2024-13748】Ultimate Classified Listings 1....

WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。

【CVE-2024-13748】Ultimate Classified Listings 1....

WordPressプラグインUltimate Classified Listings 1.4以前のバージョンに、管理者権限での格納型クロスサイトスクリプティング脆弱性が発見された。Titleパラメータを介した任意のスクリプト実行が可能で、マルチサイトインストールとunfiltered_html無効環境に影響。CVSSスコア4.4の中程度の深刻度だが、早急な対応が推奨されている。

【CVE-2024-13789】WordPressプラグインravpageに深刻な脆弱性、バージョン2.31以前で未認証攻撃が可能に

【CVE-2024-13789】WordPressプラグインravpageに深刻な脆弱性、バー...

WordPressプラグインravpageのバージョン2.31以前において、PHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCRITICALと評価されるこの脆弱性により、未認証の攻撃者が'paramsv2'パラメータを介してPHPオブジェクトを注入可能となる。POPチェーンを含む追加プラグインやテーマがインストールされている場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる深刻な脆弱性である。

【CVE-2024-13789】WordPressプラグインravpageに深刻な脆弱性、バー...

WordPressプラグインravpageのバージョン2.31以前において、PHPオブジェクトインジェクションの脆弱性が発見された。CVSSスコア9.8のCRITICALと評価されるこの脆弱性により、未認証の攻撃者が'paramsv2'パラメータを介してPHPオブジェクトを注入可能となる。POPチェーンを含む追加プラグインやテーマがインストールされている場合、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる深刻な脆弱性である。

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに任意のショートコード実行の脆弱性が発見、早急な対応が必要に

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...

WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。

【CVE-2024-13792】WooCommerce Food 3.3.2以前のバージョンに...

WordPressのプラグイン「WooCommerce Food - Restaurant Menu & Food Ordering」のバージョン3.3.2以前に、認証不要で任意のショートコードが実行可能となる重大な脆弱性が発見された。CVSSスコア7.3のハイリスク評価を受けており、do_shortcode関数の入力値検証の不備が原因。情報漏洩やシステム破壊などの被害が懸念され、早急な対応が求められている。

【CVE-2025-1406】WordPressプラグインNewpost Catchに深刻な脆弱性、投稿者権限でXSS攻撃が可能に

【CVE-2025-1406】WordPressプラグインNewpost Catchに深刻な脆...

WordPressプラグインNewpost Catchのバージョン1.3.19以前に、投稿者以上の権限を持つユーザーが悪用可能なクロスサイトスクリプティングの脆弱性が発見された。npcショートコードを介して任意のスクリプトを埋め込むことが可能で、CVSSスコアは6.4(MEDIUM)と評価されている。早急なアップデートによる対策が推奨される。

【CVE-2025-1406】WordPressプラグインNewpost Catchに深刻な脆...

WordPressプラグインNewpost Catchのバージョン1.3.19以前に、投稿者以上の権限を持つユーザーが悪用可能なクロスサイトスクリプティングの脆弱性が発見された。npcショートコードを介して任意のスクリプトを埋め込むことが可能で、CVSSスコアは6.4(MEDIUM)と評価されている。早急なアップデートによる対策が推奨される。

【CVE-2024-13846】Indeed Ultimate Learning Pro 3.9以前にSQLインジェクションの脆弱性、管理者権限での攻撃が可能に

【CVE-2024-13846】Indeed Ultimate Learning Pro 3....

WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。

【CVE-2024-13846】Indeed Ultimate Learning Pro 3....

WordFenceは2025年2月21日、WordPressプラグインIndeed Ultimate Learning Proにおいて、バージョン3.9以前に深刻なSQLインジェクションの脆弱性が存在することを公開した。この脆弱性により、管理者以上の権限を持つユーザーがpost_idパラメータを通じて追加のSQLクエリを実行し、データベースから機密情報を抽出することが可能となっている。CVSSスコアは4.9(MEDIUM)と評価されている。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が露出する脆弱性が発見、他の脆弱性と組み合わさることで深刻な被害の可能性も

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13537】C9 Blocks 1.7.7以前のバージョンでフルパス情報が...

WordPressプラグインのC9 Blocks 1.7.7以前のバージョンに、認証不要でフルパス情報が露出する脆弱性が発見された。WordFenceのセキュリティ研究者によって発見されたこの脆弱性は、公開アクセス可能なcomposer-setup.phpファイルのエラー表示設定に起因しており、CVSSスコア5.3(MEDIUM)と評価されている。単独での影響は限定的だが、他の脆弱性と組み合わさることで深刻な被害につながる可能性がある。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサイトスクリプティングの脆弱性、投稿者権限で悪用の可能性

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2024-13455】igumbi Online Booking 1.40にクロスサ...

WordPressプラグインigumbi Online Booking 1.40以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。igumbi_calendarショートコードを介して、投稿者以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSSスコアは6.4で中程度の深刻度とされ、機密性と完全性への影響が指摘されている。

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロスサイトスクリプティングの脆弱性、投稿者権限での攻撃が可能に

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...

WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。

【CVE-2024-13388】WordPress用TCBD Tooltipプラグインにクロス...

WordFenceは2025年2月21日、WordPress用プラグインTCBD Tooltipのバージョン1.0以前に存在するクロスサイトスクリプティングの脆弱性を公開した。CVSSスコア6.4の中程度の深刻度と評価されており、投稿者以上の権限を持つユーザーが'tcbdtooltip_text'ショートコードを介して悪意のあるスクリプトを注入可能。プラグインのアップデートや代替策の検討が必要となっている。

【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意コード実行の脆弱性、全バージョンが影響を受ける状態に

【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...

WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。

【CVE-2025-1509】Show Me The Cookiesプラグインに認証不要の任意...

WordPressプラグイン「Show Me The Cookies」にて、認証されていないユーザーによる任意のショートコード実行が可能な重大な脆弱性が発見された。CVE-2025-1509として識別されるこの脆弱性は、バージョン1.0以前の全バージョンに影響を与え、CVSSスコア7.3と高い深刻度を示している。Wordfenceのセキュリティチームにより報告され、早急な対応が求められる状況となっている。

【CVE-2025-1510】WordPress用プラグインCustom Post Type Date Archivesに認証回避の脆弱性、任意のショートコード実行が可能に

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-1510】WordPress用プラグインCustom Post Type ...

WordfenceはWordPress用プラグインCustom Post Type Date Archivesのバージョン2.7.1以前に、認証なしで任意のショートコードが実行可能な脆弱性を発見した。CVSSスコア7.3のHigh評価で、攻撃者は認証不要でネットワークから攻撃可能。機密性や完全性、可用性への影響が懸念され、早急な対応が必要とされている。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性、認証不要で悪用可能な状態に

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2025-0953】WordPress用YaySMTPプラグインに深刻なXSS脆弱性...

WordPressプラグイン「SMTP for Sendinblue – YaySMTP」のバージョン1.1.1以前に、認証不要のストアドXSS脆弱性が発見された。CVSSスコア7.2のハイリスク評価であり、メールログ機能を介して悪意のあるスクリプトが注入可能。Wordfenceが2025年2月22日に公開し、修正対応が進められている。影響を受けるすべてのユーザーは最新版への更新が推奨される。

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性、ユーザープロフィール写真の無断削除が可能な状態に

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...

WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。

【CVE-2024-13873】WP Job Portal 2.2.8以前のバージョンに脆弱性...

WordPressのプラグイン「WP Job Portal」のバージョン2.2.8以前において、deleteUserPhoto()関数の実装不備による深刻な脆弱性が発見された。この脆弱性により、Subscriberレベル以上の権限を持つ攻撃者が他のユーザーのプロフィール写真を無断で削除できる状態となっている。CVSSスコアは4.3で中程度の危険性と評価され、早急な対応が推奨される。

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正アクセスによる設定改ざんのリスクが発覚

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...

YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正ア...

YI Car Dashcam v3.88のHTTPサーバーに深刻な脆弱性が発見され、CVE-2024-56897として公開された。不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性がある。CVSSスコアは9.8(クリティカル)と評価され、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2にXSS脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-0469】WordPressプラグインForminator 1.39.2に...

Wordfenceは2025年2月27日、WordPressプラグイン「Forminator Forms」のバージョン1.39.2以前に格納型XSS脆弱性が存在することを公開した。この脆弱性はContributor以上の権限を持つユーザーが悪用可能で、スライダーテンプレートデータを介して任意のWebスクリプトを注入できる。CVSSスコアは6.4でMedium評価となっており、早急な対策が必要とされている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆弱性、認証済み攻撃者による悪用の可能性

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2025-1450】WordPressプラグインChaty 3.3.5以前にXSS脆...

WordPressプラグイン「Chaty」にクロスサイトスクリプティング脆弱性が発見された。この脆弱性はCVE-2025-1450として識別され、バージョン3.3.5以前のすべてのバージョンが影響を受ける。CVSSスコア6.4で中程度の深刻度と評価されており、Contributor以上の権限を持つ認証済み攻撃者によって悪用される可能性がある。data-hoverパラメータを介した任意のWebスクリプト実行が可能となっている。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部サービスアクセスが可能に

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2024-13907】Total Upkeepプラグインに脆弱性、管理者権限での内部...

WordPressプラグイン「Total Upkeep」にサーバサイドリクエストフォージェリの脆弱性が発見された。バージョン1.16.8までのすべてのバージョンが影響を受け、管理者権限以上のユーザーが内部サービスへのアクセスや情報の改変が可能となる。CVSSスコアは4.9で、早急な対策が求められる。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆弱性、Contributor権限で任意のスクリプト実行が可能に

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2025-1690】ThemeMakers Stripe Checkoutに深刻な脆...

WordPressプラグインのThemeMakers Stripe Checkoutにおいて、バージョン1.0.1以前に重大な脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入できる状態となっており、CVSSスコアは6.4(MEDIUM)と評価されている。既に対策版のバージョン1.0.2がリリースされており、早急なアップデートが推奨される。

【CVE-2024-13469】Pricing Table by PickPluginsにクロスサイトスクリプティングの脆弱性、Contributor以上の権限で悪用可能に

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13469】Pricing Table by PickPluginsにクロ...

WordPressプラグイン「Pricing Table by PickPlugins」にクロスサイトスクリプティングの脆弱性が発見された。バージョン1.12.10以前の全バージョンが影響を受け、Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能。CVSS評価は6.4(Medium)で、入力サニタイズと出力エスケープの不備により、影響を受けたページにアクセスした際にスクリプトが実行される危険性がある。

【CVE-2024-13716】WordPress用プラグインForex Calculatorsに認証バイパスの脆弱性、Subscriber以上のユーザーによる設定変更が可能に

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2024-13716】WordPress用プラグインForex Calculator...

WordPressプラグインForex Calculatorsのバージョン1.3.5以前に、認証バイパスの脆弱性が発見された。ajax_settings_callback()関数における権限チェックの欠如により、Subscriber以上の権限を持つユーザーがプラグインの設定を変更可能となっている。CVE-2024-13716として識別されたこの脆弱性は、CVSSv3.1で4.3のミディアムリスクと評価されており、早急な対応が求められている。

【CVE-2025-1757】WordPress Portfolio Builder – Portfolio Gallery 1.1.7にクロスサイトスクリプティングの脆弱性、認証済みユーザーからの攻

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2025-1757】WordPress Portfolio Builder – Po...

WordPressのプラグイン「WordPress Portfolio Builder – Portfolio Gallery」においてクロスサイトスクリプティングの脆弱性が発見された。バージョン1.1.7以前のすべてのバージョンが影響を受け、Contributor以上の権限を持つユーザーによって悪用される可能性がある。CVSSスコアは6.4でMEDIUMと評価され、早急なアップデートが推奨される。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1.7.4.2に格納型XSSの脆弱性、管理者権限での攻撃に注意

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2024-13851】WordPressプラグインModal Portfolio 1...

WordPressプラグインのModal Portfolioにおいて、バージョン1.7.4.2以前に格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。この脆弱性はCVE-2024-13851として識別され、CVSSスコア5.5(中程度)と評価されている。特にマルチサイトインストールとunfiltered_html無効環境に影響があり、管理者権限を持つユーザーによる攻撃が可能となる。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージョンにCSRF脆弱性、APIキーの不正更新の危険性

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-0801】RateMyAgent Official 1.4.0以前のバージ...

WordPressプラグインRateMyAgent Officialのバージョン1.4.0以前に深刻な脆弱性が発見された。クロスサイトリクエストフォージェリ(CSRF)の脆弱性により、攻撃者は管理者に悪意のあるリンクをクリックさせることでAPIキーを不正に更新可能となる。CVSSスコアは4.3(MEDIUM)で、対策としては最新バージョンへのアップデートが推奨される。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effects 0.1にXSS脆弱性、Contributor権限で悪用の可能性

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1560】WordPressプラグインWOW Entrance Effec...

WordPressプラグインのWOW Entrance Effects 0.1以下のバージョンに格納型クロスサイトスクリプティングの脆弱性が発見された。CVE-2025-1560として識別されたこの脆弱性は、weeショートコードの入力サニタイズと出力エスケープの不備に起因しており、Contributor以上の権限を持つユーザーが任意のスクリプトを挿入できる状態となっている。CVSSスコアは6.4(MEDIUM)と評価されている。

【CVE-2025-1662】WordPress用プラグインURL Media Uploaderに深刻な脆弱性、内部サービスへの不正アクセスが可能に

【CVE-2025-1662】WordPress用プラグインURL Media Uploade...

WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。

【CVE-2025-1662】WordPress用プラグインURL Media Uploade...

WordPressプラグインのURL Media Uploaderにサーバサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。この脆弱性はバージョン1.0.0以前の全バージョンに影響し、認証済みの作者権限以上のユーザーが内部サービスの情報にアクセスし改変することが可能となっている。CVSSスコアは6.4で、DNSリバインディングを介した攻撃により、Webアプリケーションから任意の場所へのリクエストが実行可能な状態となっている。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権昇格の脆弱性、管理者アカウント乗っ取りのリスク

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1570】WordPressプラグインDirectorist 8.1に特権...

WordPressのビジネスディレクトリプラグイン「Directorist」にアカウント乗っ取りの脆弱性が発見された。パスワードリセット機能の認証チェック不備により、未認証の攻撃者が管理者を含む任意のユーザーアカウントを乗っ取ることが可能。CVSSスコア8.1のハイリスク脆弱性として報告され、バージョン8.1以前の全バージョンが影響を受ける。

【CVE-2025-1511】WordPressプラグインUser Registration 4.0.4に深刻な脆弱性、クロスサイトスクリプティング攻撃が可能に

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1511】WordPressプラグインUser Registration ...

WordFenceが2025年2月28日、WordPressプラグイン「User Registration & Membership」のバージョン4.0.4以前に脆弱性が存在することを公開した。CVE-2025-1511として識別されるこの脆弱性は、認証不要でクロスサイトスクリプティング攻撃が可能となる深刻な問題。CVSSスコア6.1で評価され、ユーザーの操作を必要とするものの、情報漏洩やセッションハイジャックなどのリスクが指摘されている。

【CVE-2025-1506】WordPressプラグインWp Social Login and Register Social Counter 3.1.0にCSRF脆弱性が発見、管理者権限での設定変

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-1506】WordPressプラグインWp Social Login an...

WordfenceがWordPress用プラグインWp Social Login and Register Social Counter 3.1.0以前のバージョンにおいて、Cross-Site Request Forgeryの脆弱性を発見した。counter_access_key_setup()関数でのnonce検証の不備により、認証されていない攻撃者が管理者権限でソーシャルログインプロバイダーの設定を不正に更新できる可能性がある。CVSSスコアは4.3でMEDIUMレベルの深刻度と評価されている。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、登録済みユーザーによる情報漏洩のリスクに警鐘

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-0764】wpForo Forum 2.4.1にファイル読み取りの脆弱性、...

WordPressプラグインwpForo Forum 2.4.1以前のバージョンに、認証済みユーザーによる任意のファイル読み取りを可能にする脆弱性が発見された。Members クラスのupdate メソッドにおける入力検証の不備が原因で、CVSS 6.5の中程度の深刻度と評価されている。早急なバージョンアップによる対策が推奨され、重要情報の漏洩リスクに注意が必要だ。

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性、患者データ漏洩のリスクに警戒

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...

WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。

【CVE-2025-1572】KiviCare医療管理システムにSQLインジェクションの脆弱性...

WordPressプラグイン「KiviCare – Clinic & Patient Management System (EHR)」にSQLインジェクションの脆弱性が発見された。バージョン3.6.7以前の全バージョンが影響を受け、医師以上の権限を持つ認証済みユーザーがu_idパラメータを介してデータベースから機密情報を抽出可能。CVSSスコア6.5のMEDIUMレベルと評価され、早急な対応が求められる。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトインジェクションの脆弱性、管理者権限で深刻な影響の可能性

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。

【CVE-2024-13831】Tabs for WooCommerceにPHPオブジェクトイ...

WordPressプラグインのTabs for WooCommerceにおいて、バージョン1.0.0以前に深刻な脆弱性が発見された。Shop Manager以上の権限を持つ攻撃者がPHPオブジェクトを注入可能で、追加プラグインやテーマのPOPチェーンを利用することで、任意のファイル削除や機密データの取得、コード実行などの攻撃が可能となる。CVSSスコアは7.2と高い深刻度に分類されている。