( 181 - 200 ) of 13935 << [ 5 6 7 8 9 10 11 12 13 14 ] >>
| 日付 | CVE | カテゴリ | タイトル | 深刻度 | URL | |
|---|---|---|---|---|---|---|
| 2026/01/06(火) 14:45 | CVE-2024-31211 | WordPress | WordPressのWP_HTML_Tokenクラスにおけるアンシリアライズ処理ミスによる任意コード実行の可能性がある脆弱性 WordPressはウェブ用のオープンパブリッシングプラットフォームです。`WP_HTML_Token`クラスのインスタンスをアンシリアライズすると、その`__destruct()`マジックメソッドを通じてコードを実行できてしまう脆弱性が存在しました。この問題は2023年12月6日にリリースされたWordPress 6.4.2で修正されました。6.4.0以前のバージョンは影響を受けません。 |
Critical | JVN iPedia | |
| 2026/01/06(火) 12:06 | CVE-2025-4302 | WordPress (Plugin) | WordPress用「Stop User Enumeration」プラグインのバージョン1.7.3未満における、URLエンコードを利用したAPIパスの制限回避による認証不要のユーザー列挙の脆弱性 Stop User Enumeration WordPressプラグインのバージョン1.7.3未満は、認証されていないユーザーによるREST API /wp-json/wp/v2/users/ へのリクエストをブロックしますが、APIパスをURLエンコードするとこの制限を回避できます。 |
Medium | JVN iPedia | |
| 2026/01/06(火) 10:55 | CVE-2024-9582 | WordPress (Plugin) | WordPress Accordion Sliderプラグインの認証済みユーザーによるクロスサイトスクリプティングの脆弱性 WordPress用のAccordion Sliderプラグインには、十分な入力サニタイズおよび出力エスケープが行われていないため、バージョン1.9.11までのすべてのバージョンにおいて、アコーディオンスライダーの「html」属性を介した蓄積型クロスサイトスクリプティング(Stored Cross-Site Scripting)の脆弱性が存在します。この脆弱性により、貢献者(Contributor)レベル以上の権限を持つ認証済み攻撃者が、任意のウェブスクリプトをページに埋め込めます。注入されたページにユーザーがアクセスするたびにスクリプトが実行される可能性があります。注意として、貢献者レベルのユーザーがこの脆弱性を悪用するには、管理者レベルのユーザーが「Access」プラグイン設定でプラグインの管理画面へのアクセス許可を与える必要があります(この設定はデフォルトで管理者のみに制限されています)。 |
Medium | JVN iPedia | |
| 2026/01/06(火) 10:55 | CVE-2024-6797 | WordPress (Plugin) | DL Robots.txt WordPressプラグインの設定処理にサニタイズ不備が存在し、保存型XSSが発生するおそれがある脆弱性 DL Robots.txt WordPressプラグイン(バージョン1.2まで)では、一部の設定に対してサニタイズおよびエスケープ処理が行われていません。このため、管理者などの高権限ユーザーが、たとえunfiltered_html権限が無効化されている場合(例えばマルチサイト環境)であっても、保存型クロスサイトスクリプティング(Stored XSS)攻撃を実行できる可能性があります。 |
Medium | JVN iPedia | |
| 2025/12/25(木) 17:19 | CVE-2017-20192 | WordPress (Plugin) | WordPressのFormidable Form Builderプラグインに関する脆弱性 WordPress用のFormidable Form Builderプラグインには、バージョン2.05.03より前のバージョンにおいて、フォーム入力時に送信される 'after_html' などの複数のパラメータを通じて保存型クロスサイトスクリプティングの脆弱性が存在します。これは、入力値のサニタイズや出力時のエスケープが不十分であることが原因です。そのため、認証されていない攻撃者が任意のWebスクリプトを注入し、被害者のブラウザで実行されてしまう可能性があります。 |
Medium | JVN iPedia | |
| 2025/12/25(木) 17:18 | CVE-2020-36849 | WordPress (Plugin) | WordPressのAIT CSVインポート/エクスポートプラグインに認証なしでファイルをアップロードできる脆弱性 WordPress用のAIT CSVインポート/エクスポートプラグインは、バージョン3.0.3以前において、/wp-content/plugins/ait-csv-import-export/admin/upload-handler.phpファイルでファイルタイプの検証が行われていません。そのため、任意のファイルをアップロードできる脆弱性が存在します。この脆弱性により、認証されていない攻撃者が対象サイトのサーバーに任意のファイルをアップロードし、リモートでコードを実行する可能性があります。 |
Critical | JVN iPedia | |
| 2025/12/25(木) 17:18 | CVE-2017-20206 | WordPress (Plugin) | WordPressのAppointmentsプラグインにおけるPHPオブジェクトインジェクションの脆弱性 WordPressのAppointmentsプラグインには、バージョン2.2.1までに信頼されていない入力が「wpmudev_appointments」クッキーからデシリアライズされることで、PHPオブジェクトインジェクションの脆弱性が存在します。この脆弱性により、認証されていない攻撃者がPHPオブジェクトを注入できてしまいます。攻撃者はWP_Theme()クラスを利用してこの脆弱性を積極的に悪用し、バックドアを作成していました。 |
Critical | JVN iPedia | |
| 2025/12/25(木) 17:15 | CVE-2025-6085 | WordPress (Plugin) | Celonis, Inc. の WordPress 用 Make Connector における危険なタイプのファイルの無制限アップロードに関する脆弱性 Celonis, Inc. の WordPress 用 Make Connector には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。 |
High | JVN iPedia | |
| 2025/12/25(木) 17:02 | CVE-2019-25215 | WordPress (Plugin) | WordPressのARI-Adminerプラグインに存在する認可回避の脆弱性 WordPress用のARI-Adminerプラグインは、バージョン1.1.14までのほぼすべてのファイルでファイルアクセス制御が欠如しているため、認可バイパスの脆弱性が存在します。この脆弱性により、認証されていない攻撃者がファイルを直接呼び出して、サイトのデータベースにアクセスしたり変更したりするなど、さまざまな不正な操作を実行できます。 |
High | JVN iPedia | |
| 2025/12/25(木) 17:01 | CVE-2024-10470 | WordPress (Plugin) | WordPress用WPLMSテーマに認証不要で任意ファイル削除・読み取りが可能となる脆弱性 WordPress用のWPLMS Learning Management SystemおよびWordPress LMSテーマには、バージョン4.962までのすべてのバージョンに、readfileおよびunlink関数におけるファイルパス検証や権限チェックが不十分なため、任意のファイルを読み取ったり削除したりできる脆弱性が存在します。これにより、認証されていない攻撃者がサーバー上の任意のファイルを削除することができ、例えばwp-config.phpのような重要なファイルが削除されると、リモートコード実行につながる可能性があります。また、このテーマは有効化されていない場合でも脆弱な状態となります。 |
Critical | JVN iPedia | |
| 2025/12/25(木) 16:54 | CVE-2025-11996 | WordPress (Plugin) | Toast Design の WordPress 用 Find Unused Images における認証の欠如に関する脆弱性 Toast Design の WordPress 用 Find Unused Images には、認証の欠如に関する脆弱性が存在します。 |
Medium | JVN iPedia | |
| 2025/12/25(木) 16:01 | CVE-2012-10019 | WordPress (Plugin) | scribu の WordPress 用 Front-end Editor における危険なタイプのファイルの無制限アップロードに関する脆弱性 scribu の WordPress 用 Front-end Editor には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。 |
Critical | JVN iPedia | |
| 2025/12/25(木) 14:18 | CVE-2025-8427 | WordPress (Plugin) | FastLine Media LLC の WordPress 用 Beaver Builder におけるクロスサイトスクリプティングの脆弱性 FastLine Media LLC の WordPress 用 Beaver Builder には、クロスサイトスクリプティングの脆弱性が存在します。 |
Medium | JVN iPedia | |
| 2025/12/25(木) 12:11 | CVE-2025-10042 | WordPress (Plugin) | AYS-Pro の WordPress 用 Quiz Maker における SQL インジェクションの脆弱性 AYS-Pro の WordPress 用 Quiz Maker には、SQL インジェクションの脆弱性が存在します。 |
High | JVN iPedia | |
| 2025/12/24(水) 16:04 | CVE-2012-10018 | WordPress (Plugin) | WordPress 用 mapplic におけるサーバサイドのリクエストフォージェリの脆弱性 WordPress 用 mapplic には、サーバサイドのリクエストフォージェリの脆弱性が存在します。 |
High | JVN iPedia | |
| 2025/12/24(水) 14:19 | CVE-2025-12019 | WordPress (Plugin) | Mervin Praison の WordPress 用 Featured Image におけるクロスサイトスクリプティングの脆弱性 Mervin Praison の WordPress 用 Featured Image には、クロスサイトスクリプティングの脆弱性が存在します。 |
Medium | JVN iPedia | |
| 2025/12/23(火) 17:56 | CVE-2025-8891 | WordPress (Plugin) | WordPress 用 OceanWP におけるクロスサイトリクエストフォージェリの脆弱性 WordPress 用 OceanWP には、クロスサイトリクエストフォージェリの脆弱性が存在します。 |
Medium | JVN iPedia | |
| 2025/12/23(火) 17:46 | CVE-2017-20208 | WordPress (Plugin) | Metagauss Inc. の WordPress 用 registrationmagic における信頼できないデータのデシリアライゼーションに関する脆弱性 Metagauss Inc. の WordPress 用 registrationmagic には、信頼できないデータのデシリアライゼーションに関する脆弱性が存在します。 |
Critical | JVN iPedia | |
| 2025/12/23(火) 17:46 | CVE-2015-10146 | WordPress (Plugin) | Thirteen Web Solution の WordPress 用 thumbnail slider with lightbox における SQL インジェクションの脆弱性 Thirteen Web Solution の WordPress 用 thumbnail slider with lightbox には、SQL インジェクションの脆弱性が存在します。 |
Medium | JVN iPedia | |
| 2025/12/23(火) 16:32 | CVE-2016-15043 | WordPress (Plugin) | WP Mobile Detector project の WordPress 用 WP Mobile Detector における危険なタイプのファイルの無制限アップロードに関する脆弱性 WP Mobile Detector project の WordPress 用 WP Mobile Detector には、危険なタイプのファイルの無制限アップロードに関する脆弱性が存在します。 |
Critical | JVN iPedia |
