( 1 - 20 ) of 13950 [ 1 2 3 4 5 6 7 8 9 10 ] >>
| 日付 | CVE | カテゴリ | タイトル | 深刻度 | URL | |
|---|---|---|---|---|---|---|
| 2026/03/09(月) 15:03 | CVE-2026-28562 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおけるSQL インジェクションの脆弱性 wpForo 2.4.14には、Topics::get_topics()における認証されていないSQLインジェクションの脆弱性があります。この脆弱性は、ORDER BY句で引用符で囲まれていない識別子に対して効果のないesc_sql()サニタイズが行われていることに起因します。攻撃者はCASE WHENペイロードを用いてwpfobパラメータを悪用し、WordPressデータベースから資格情報をブラインドブール抽出することが可能です。 |
Critical | JVN iPedia | |
| 2026/03/09(月) 15:03 | CVE-2026-28561 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおけるクロスサイトスクリプティングの脆弱性 wpForo Forum 2.4.14には、管理者がフォーラムの説明フィールドに永続的なJavaScriptを注入できるストアドクロスサイトスクリプティングの脆弱性があります。この説明フィールドは複数のテーマテンプレートファイルで出力時にエスケープ処理がされずに表示されます。マルチサイトインストール環境や管理者アカウントが侵害された場合、攻撃者はHTMLイベントハンドラーを含むフォーラムの説明を設定でき、任意のユーザーがフォーラム一覧を見る際にスクリプトが実行されます。 |
Medium | JVN iPedia | |
| 2026/03/09(月) 15:03 | CVE-2026-28554 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には、認証済みの購読者がwpforo_approve_ajax AJAXハンドラーを介して任意のフォーラム投稿の承認または承認解除を行える認可欠如の脆弱性があります。攻撃者はnonceのみの検証を悪用し、有効なnonceと任意の投稿IDを送信することで、モデレーション制御を完全に回避することが可能です。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28560 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおけるクロスサイトスクリプティングの脆弱性 wpForo Forum 2.4.14には、格納型クロスサイトスクリプティングの脆弱性が存在し、forumのURLデータをjson_encodeでJSON_HEX_TAGフラグを使用せずにインラインスクリプトブロックに出力することでスクリプトの注入を許します。攻撃者は、終了するスクリプトタグやエスケープされていないシングルクォートを含むフォーラムスラッグを設定し、JavaScriptの文字列コンテキストから抜け出して任意のスクリプトをすべての訪問者のブラウザで実行させることができます。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28559 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける情報漏えいに関する脆弱性 wpForo Forum 2.4.14には、認証されていないユーザーがグローバルRSSフィードエンドポイントを介してプライベートおよび未承認のフォーラムトピックを取得できる情報漏洩の脆弱性があります。攻撃者はフォーラムIDパラメータなしでRSSフィードをリクエストすることで、特定のフォーラムIDがクエリに存在する場合にのみ適用されるプライバシーおよびステータスのWHERE句を回避することができます。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28558 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおけるクロスサイトスクリプティングの脆弱性 wpForo Forum 2.4.14には、認証された購読者がアバターアップロード機能を通じてSVGファイルをプロフィールアバターとしてアップロードできる保存型クロスサイトスクリプティング(XSS)の脆弱性があります。攻撃者はCSSインジェクションやJavaScriptイベントハンドラーを含む細工されたSVGをアップロードし、攻撃者のプロフィールページを閲覧するユーザーのブラウザでこれらが実行される可能性があります。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28557 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には、認証されたユーザーがwpforo_synch_roles AJAXハンドラーを介して大量のwpForoユーザーグループの再割り当てを引き起こすことが可能となる権限チェックの欠落による脆弱性があります。攻撃者は任意の認証ユーザーがアクセス可能なユーザーグループ管理ページにアクセスしてノンスを取得し、すべてのwpForoユーザーグループを任意のWordPressの役割に再マッピングできます。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28556 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には認証の欠如の脆弱性があり、認証された購読者がtopic_move、topic_merge、およびtopic_splitフォームアクションハンドラーを介して任意のフォーラムトピックを移動、結合、または分割できます。有効なフォームノンスを持つ攻撃者はモデレーターの権限なしに任意のフォーラムコンテンツを再編成でき、プライベートフォーラムへトピックを移動することも可能です。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28555 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には、認証済みの購読者がwpforo_close_ajaxハンドラーを介して任意のフォーラムトピックを閉じたり再開したりできる認可欠如の脆弱性があります。攻撃者は有効なノンスと任意のトピックIDを送信することでモデレーターの権限要件を回避し、フォーラムの議論を妨害することが可能です。 |
Medium | JVN iPedia | |
| 2026/02/20(金) 12:07 | CVE-2026-26370 | WordPress (Plugin) | WordPress用プラグインSurvey Makerにおけるクロスサイトスクリプティングの脆弱性 Ays Proが提供するWordPress用プラグインSurvey Makerには、次の脆弱性が存在します。クロスサイトスクリプティング(CWE-79)- CVE-2025-26370この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者:株式会社ラック 熊丸 匠伍 氏 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:08 | CVE-2024-13511 | WordPress (Plugin) | Variation Swatches for WooCommerce projectのWordPress用Variation Swatches for WooCommerceにおけるクロスサイトリクエストフォージェリの脆弱性 WooCommerce用Variation Swatchesプラグインのバージョン1.0.8から1.3.2までには、設定リセット機能における不適切なnonce検証に起因する脆弱性が存在します。この問題は、特定のURLクエリパラメータに基づいてリセット操作を処理するsettings_init()関数に起因しています。さらに、関連するdelete_settings()関数では誤ったnonce検証が行われているため、リセット操作の安全性が確保されておらず、不正アクセスを受けやすくなっています。 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:06 | CVE-2025-8280 | WordPress (Plugin) | Contact Form 7 Captcha projectのWordPress用Contact Form 7 Captchaにおけるクロスサイトスクリプティングの脆弱性 Contact Form 7 reCAPTCHA WordPressプラグインのバージョン1.2.0までには、$_SERVER['REQUEST_URI']パラメータを属性に出力する前にエスケープ処理を行っていなかったため、古いウェブブラウザで反射型クロスサイトスクリプティング(XSS)が発生する可能性があります。 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:06 | CVE-2025-64271 | WordPress (Plugin) | HasThemesのWordPress用wp plugin managerにおけるクロスサイトリクエストフォージェリの脆弱性 HasThemes WP Plugin Manager wp-plugin-manager にはクロスサイトリクエストフォージェリ(CSRF)の脆弱性があります。この問題は WP Plugin Manager のバージョン n/a から 1.4.7 以下のバージョンに影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/02/13(金) 16:54 | CVE-2025-39474 | WordPress (Plugin) | ThemeMoveのWordPress用AmelyにおけるSQL インジェクションの脆弱性 ThemeMove Amely における SQL コマンドで使用される特殊要素の不適切な無効化(「SQL インジェクション」)の脆弱性により、SQL インジェクション攻撃が可能です。この問題は Amely のバージョン n/a から 3.1.4 までに影響します。 |
Critical | JVN iPedia | |
| 2026/02/12(木) 16:20 | CVE-2025-8085 | WordPress (Plugin) | Metaphor Creations, LLCのWordPress用Dittyにおけるサーバサイドのリクエストフォージェリの脆弱性 Ditty WordPressプラグインのバージョン3.1.58未満には、displayItemsエンドポイントへのリクエストに対する認可および認証が欠如しているため、認証されていない訪問者が任意のURLにリクエストを行うことが可能です。 |
High | JVN iPedia | |
| 2026/02/06(金) 10:40 | CVE-2025-54701 | WordPress (Plugin) | ThemeMoveのWordPress用UniCampにおけるPHP リモートファイルインクルージョンの脆弱性 ThemeMove UnicampのPHPプログラムにおいて、インクルードおよびリクワイアステートメントのファイル名が適切に制御されていない脆弱性(PHPリモートファイルインクルージョン)が存在し、これによりPHPのローカルファイルインクルージョンが可能になります。この問題はUnicampのバージョンn/aから2.6.3までに影響を及ぼします。 |
Critical | JVN iPedia | |
| 2026/02/06(金) 10:38 | CVE-2025-54700 | WordPress (Plugin) | ThemeMoveのWordPress用MakeaholicにおけるPHP リモートファイルインクルージョンの脆弱性 ThemeMove MakeaholicのPHPプログラムにおいて、インクルードおよびリクワイアステートメントのファイル名が不適切に制御される脆弱性(PHPリモートファイルインクルージョン)により、PHPローカルファイルインクルージョンが可能となります。この問題はMakeaholicのn/aからバージョン1.8.4までに影響します。 |
Critical | JVN iPedia | |
| 2026/02/06(金) 10:38 | CVE-2024-51670 | WordPress (Plugin) | Joom SkyのWordPress用JS Help Deskにおけるクロスサイトスクリプティングの脆弱性 JS Help Desk - Best Help Desk & Support Pluginにおいて、ウェブページ生成時の入力が適切に無害化されない(XSS、すなわち「クロスサイトスクリプティング」の)脆弱性が存在し、これによりストアドXSSが発生します。この問題は、JS Help Desk - Best Help Desk & Support Pluginのバージョンn/aから2.8.7までに影響を与えます。 |
Medium | JVN iPedia | |
| 2026/02/05(木) 15:45 | CVE-2025-62972 | WordPress (Plugin) | WordPress用webinarpressにおける認証の欠如に関する脆弱性 WPWebinarSystem WebinarPress wp-webinarsystem における認証欠如の脆弱性により、不適切に構成されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は WebinarPress のバージョン n/a から 1.33.28 以下に影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/02/02(月) 19:39 | CVE-2025-69092 | WordPress (Plugin) | WPDeveloperのWordPress用Essential Addons for Elementorにおけるクロスサイトスクリプティングの脆弱性 WPDeveloper Essential Addons for Elementorのessential-addons-for-elementor-liteにおいて、ウェブページ生成時の入力が適切に無害化されない(クロスサイトスクリプティング)脆弱性により、DOMベースのXSSが発生します。この問題はEssential Addons for Elementorのバージョンn/aから6.5.3以下に影響します。 |
Medium | JVN iPedia |
