( 161 - 180 ) of 13935 << [ 4 5 6 7 8 9 10 11 12 13 ] >>
| 日付 | CVE | カテゴリ | タイトル | 深刻度 | URL | |
|---|---|---|---|---|---|---|
| 2026/01/23(金) 14:19 | CVE-2025-62068 | WordPress (Plugin) | WordPress用E2pdfにおけるクロスサイトスクリプティングの脆弱性 Webページを生成する際の入力の不適切な無害化(クロスサイトスクリプティング)の脆弱性がE2Pdfのe2pdfに存在しています。この問題はe2pdfのn/aから1.28.09以下のバージョンに影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/01/22(木) 11:34 | CVE-2025-30899 | WordPress (Plugin) | WPEverestのWordPress用User Registration & Membership - Custom Registration Form, Login Form, and User Profileにおけるクロスサイトスクリプティングの脆弱性 wpeverestのユーザー登録におけるウェブページ生成時の入力の不適切な無害化(クロスサイトスクリプティング)の脆弱性により、保存型XSSが発生します。この問題はUser Registrationのn/aから4.0.3までのバージョンに影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/01/22(木) 11:28 | CVE-2025-8944 | WordPress (Plugin) | WordPress用OceanWPにおける認証の欠如に関する脆弱性 OceanWP WordPressテーマのバージョン4.1.2以前には、AJAXリクエストハンドラーの一つで権限チェックが欠落しているため、オプションの更新に対する脆弱性があります。この脆弱性により、サブスクライバーなどの認証済みユーザーがdarkMod設定を更新できるようになります。 |
Medium | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58899 | WordPress (Plugin) | AncoraThemesのWordPress用FrameにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes FrameフレームにおけるPHPプログラムのインクルード/リクワイア文でのファイル名の不適切な制御により、PHPリモートファイルインクルージョンの脆弱性が存在し、その結果としてPHPのローカルファイルインクルージョンが可能となります。この問題はFrameのバージョンn/aから2.4.0以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58898 | WordPress (Plugin) | AncoraThemesのWordPress用HealthHubにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes HealthHub の PHP プログラムにおいて、インクルードおよびリクワイアステートメントのファイル名が適切に制御されていないため(PHPリモートファイルインクルージョンの脆弱性により)、PHPのローカルファイルインクルージョンが可能となる問題があります。この脆弱性は HealthHub のバージョン n/a から 1.3.0 以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58896 | WordPress (Plugin) | AncoraThemesのWordPress用OtakuにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes Otaku における PHP プログラムのインクルードおよびリクワイア文で、ファイル名の不適切な制御により『PHP リモートファイルインクルージョン』の脆弱性が存在します。この脆弱性により、PHP ローカルファイルインクルージョンが発生します。この問題は Otaku のバージョン n/a から 1.8.0 以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58895 | WordPress (Plugin) | AncoraThemesのWordPress用IntegroにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemesのIntegroにおいて、PHPプログラムのInclude/Require文のファイル名制御に不備があり(「PHPリモートファイルインクルージョン」)、脆弱性が存在します。この脆弱性により、IntegroはPHPのローカルファイルインクルージョンを許可してしまいます。この問題はIntegroのバージョンn/aから1.8.0以下に影響します。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58892 | WordPress (Plugin) | AncoraThemesのWordPress用TourimoにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemesのTourimoにおけるPHPプログラムのInclude/Require文に対するファイル名制御が不適切に管理されており、「PHPリモートファイルインクルージョン」脆弱性が存在しています。この脆弱性により、PHPのローカルファイルインクルージョンが許可されます。この問題はTourimoのバージョンn/aから1.2.3以下に影響します。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58891 | WordPress (Plugin) | AncoraThemesのWordPress用SangerにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes Sangerのsangerにおいて、PHPプログラムのInclude/Require文のファイル名を不適切に制御する脆弱性(『PHPリモートファイルインクルージョン』)により、PHPのローカルファイルインクルージョンが可能となる問題があります。この脆弱性は、Sangerのバージョンn/aから1.24.0以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58890 | WordPress (Plugin) | AncoraThemesのWordPress用PlayfulにおけるPHP リモートファイルインクルージョンの脆弱性 PHPプログラムにおけるインクルードおよびリクワイアステートメントのファイル名が不適切に制御される脆弱性(『PHPリモートファイルインクルージョン』)がAncoraThemesのPlayfulに存在します。この脆弱性により、PHPのローカルファイルインクルージョンが可能となります。本問題はPlayfulのバージョンn/aから1.19.0以下に影響します。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58888 | WordPress (Plugin) | AncoraThemesのWordPress用The FlashにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemesのThe Flashにおいて、PHPプログラムのインクルード/リクワイア文でファイル名が適切に制御されていない(『PHPリモートファイルインクルージョン』脆弱性)問題です。この脆弱性は、The Flashのバージョンn/aから1.15以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58885 | WordPress (Plugin) | AncoraThemesのWordPress用PathfinderにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes PathfinderのPHPプログラムにおけるインクルードおよびリクワイアステートメントのファイル名が適切に制御されていないために発生する「PHPリモートファイルインクルージョン」の脆弱性により、PathfinderはPHPのローカルファイルインクルージョンを許可してしまいます。この問題はPathfinderのバージョンn/aから1.16以下に影響を与えます。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-58879 | WordPress (Plugin) | AncoraThemesのWordPress用FestyにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemesのFestyにおけるPHPプログラムのInclude/Require文のファイル名が不適切に制御される(「PHPリモートファイルインクルージョン」)脆弱性により、PHPのローカルファイルインクルージョンが可能になります。この問題は、Festyのバージョンn/aから1.13.0以下に影響します。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:37 | CVE-2025-39400 | WordPress (Plugin) | WPEverestのWordPress用User Registration & Membership - Custom Registration Form, Login Form, and User Profileにおけるクロスサイトスクリプティングの脆弱性 wpeverestのユーザー登録におけるWebページ生成時の入力の不適切な無害化により、『クロスサイトスクリプティング』の脆弱性が発生し、リフレクト型XSSが起こります。この問題はUser Registrationのすべてのバージョンに影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/01/19(月) 19:36 | CVE-2025-8281 | WordPress (Plugin) | boybawangのWordPress用WP Talrooにおけるクロスサイトスクリプティングの脆弱性 WP Talroo WordPressプラグイン(バージョン2.4まで)は、ページにパラメータを出力する前に適切なサニタイズとエスケープを行わないため、リフレクテッドクロスサイトスクリプティング(XSS)が発生します。これにより、管理者などの高権限ユーザーや認証されていないユーザーを対象とした攻撃に利用される可能性があります。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:36 | CVE-2025-8046 | WordPress (Plugin) | fahadmahmoodのWordPress用Injection Guardにおけるクロスサイトスクリプティングの脆弱性 Injection GuardはWordPressプラグインであり、バージョン1.2.8以前においては、属性に出力する前に$_SERVER['REQUEST_URI']パラメータをエスケープしていませんでした。これにより、古いウェブブラウザで反射型クロスサイトスクリプティング(XSS)が発生する可能性があります。 |
Medium | JVN iPedia | |
| 2026/01/19(月) 19:36 | CVE-2025-58901 | WordPress (Plugin) | AncoraThemesのWordPress用TakeoutにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemes TakeoutのPHPプログラムには、インクルードおよびリクワイヤステートメントのファイル名を不適切に制御する脆弱性(『PHPリモートファイルインクルージョン』脆弱性)が存在します。この問題により、TakeoutはPHPのローカルファイルインクルージョンを許可してしまいます。この脆弱性は、Takeoutのバージョンn/aから1.3.0以下に影響します。 |
High | JVN iPedia | |
| 2026/01/19(月) 19:36 | CVE-2025-58900 | WordPress (Plugin) | AncoraThemesのWordPress用UniTravelにおけるPHP リモートファイルインクルージョンの脆弱性 AncoraThemesのUniTravel(ユニトラベル)におけるPHPプログラムのインクルード/リクワイアステートメントのファイル名の不適切な制御により、PHPのリモートファイルインクルージョンの脆弱性が存在し、その結果としてPHPのローカルファイルインクルージョンが可能になります。本問題はUniTravelのバージョンn/aから1.4.2以下に影響を及ぼします。 |
High | JVN iPedia | |
| 2026/01/09(金) 16:24 | CVE-2024-31210 | WordPress | WordPress.orgのWordPressにおける危険なタイプのファイルの無制限アップロードに関する脆弱性 WordPressは、ウェブ向けのオープンパブリッシングプラットフォームです。WordPressの「プラグイン → 新規追加 → プラグインのアップロード」画面では、管理者ユーザーがzipファイル以外のファイルタイプも新しいプラグインとして提出できます。インストールのためにFTP認証情報の入力が必要な場合(ファイルを「uploads」ディレクトリ外に移動するため)、アップロードされたファイルが許可されていなくても一時的にメディアライブラリで利用可能な状態になります。サイトで「DISALLOW_FILE_EDIT」定数が「true」に設定されており、さらに新しいテーマやプラグインをアップロードする際にFTP認証情報の入力が必要な場合、通常は任意のPHPコードを実行する手段がないユーザーであっても、技術的にリモートコード実行(RCE)を行うことが可能です。この問題は、シングルサイトの管理者レベルユーザー及びマルチサイトのスーパー管理者レベルユーザーのみに影響が及びます。それ以外の権限が低いユーザーは影響を受けません。「DISALLOW_FILE_MODS」定数が「true」に設定されているサイトは影響を受けません。また、管理者ユーザーがFTP認証情報の入力が不要、または有効なFTP認証情報にアクセスできる場合も、この問題は発生しません。この問題は2024年1月30日にWordPress 6.4.3で修正されており、バージョン6.3.3、6.2.4、6.1.5、6.0.7、5.9.9、5.8.9、5.7.11、5.6.13、5.5.14、5.4.15、5.3.17、5.2.20、5.1.18、5.0.21、4.9.25、2.8.24、4.7.28、4.6.28、4.5.31、4.4.32、4.3.33、4.2.37、4.1.40にはバックポートされました。回避策として、「DISALLOW_FILE_MODS」定数を「true」に定義すると、全ユーザーによるプラグインのアップロードが不可能になり、この問題は悪用できなくなります。 |
High | JVN iPedia | |
| 2026/01/07(水) 18:25 | CVE-2024-4439 | WordPress | WordPress.orgのWordPress等の複数製品におけるクロスサイトスクリプティングの脆弱性 WordPress Coreには、表示名の出力エスケープが不十分な問題があり、バージョン6.5.2までのさまざまなバージョンでアバターブロックのユーザー表示名を通じて保存型クロスサイトスクリプティング(Stored XSS)の脆弱性が存在します。この脆弱性の影響により、認証済みの攻撃者(投稿者レベル以上)は任意のWebスクリプトをページへ注入でき、注入されたページにユーザーがアクセスするたびにスクリプトが実行される可能性があります。さらに、コメントブロックが含まれていてコメント著者のアバターを表示するページでは、未認証の攻撃者も任意のWebスクリプトを注入することができます。 |
Medium | JVN iPedia |
