( 21 - 40 ) of 13965 << [ 1 2 3 4 5 6 7 8 9 10 ] >>
| 日付 | CVE | カテゴリ | タイトル | 深刻度 | URL | |
|---|---|---|---|---|---|---|
| 2026/03/05(木) 11:48 | CVE-2026-28558 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおけるクロスサイトスクリプティングの脆弱性 wpForo Forum 2.4.14には、認証された購読者がアバターアップロード機能を通じてSVGファイルをプロフィールアバターとしてアップロードできる保存型クロスサイトスクリプティング(XSS)の脆弱性があります。攻撃者はCSSインジェクションやJavaScriptイベントハンドラーを含む細工されたSVGをアップロードし、攻撃者のプロフィールページを閲覧するユーザーのブラウザでこれらが実行される可能性があります。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28557 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には、認証されたユーザーがwpforo_synch_roles AJAXハンドラーを介して大量のwpForoユーザーグループの再割り当てを引き起こすことが可能となる権限チェックの欠落による脆弱性があります。攻撃者は任意の認証ユーザーがアクセス可能なユーザーグループ管理ページにアクセスしてノンスを取得し、すべてのwpForoユーザーグループを任意のWordPressの役割に再マッピングできます。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28556 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には認証の欠如の脆弱性があり、認証された購読者がtopic_move、topic_merge、およびtopic_splitフォームアクションハンドラーを介して任意のフォーラムトピックを移動、結合、または分割できます。有効なフォームノンスを持つ攻撃者はモデレーターの権限なしに任意のフォーラムコンテンツを再編成でき、プライベートフォーラムへトピックを移動することも可能です。 |
Medium | JVN iPedia | |
| 2026/03/05(木) 11:48 | CVE-2026-28555 | WordPress (Plugin) | gVectors TeamのWordPress用wpforo forumにおける認証の欠如に関する脆弱性 wpForo Forum 2.4.14には、認証済みの購読者がwpforo_close_ajaxハンドラーを介して任意のフォーラムトピックを閉じたり再開したりできる認可欠如の脆弱性があります。攻撃者は有効なノンスと任意のトピックIDを送信することでモデレーターの権限要件を回避し、フォーラムの議論を妨害することが可能です。 |
Medium | JVN iPedia | |
| 2026/02/20(金) 12:07 | CVE-2026-26370 | WordPress (Plugin) | WordPress用プラグインSurvey Makerにおけるクロスサイトスクリプティングの脆弱性 Ays Proが提供するWordPress用プラグインSurvey Makerには、次の脆弱性が存在します。クロスサイトスクリプティング(CWE-79)- CVE-2025-26370この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者:株式会社ラック 熊丸 匠伍 氏 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:08 | CVE-2024-13511 | WordPress (Plugin) | Variation Swatches for WooCommerce projectのWordPress用Variation Swatches for WooCommerceにおけるクロスサイトリクエストフォージェリの脆弱性 WooCommerce用Variation Swatchesプラグインのバージョン1.0.8から1.3.2までには、設定リセット機能における不適切なnonce検証に起因する脆弱性が存在します。この問題は、特定のURLクエリパラメータに基づいてリセット操作を処理するsettings_init()関数に起因しています。さらに、関連するdelete_settings()関数では誤ったnonce検証が行われているため、リセット操作の安全性が確保されておらず、不正アクセスを受けやすくなっています。 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:06 | CVE-2025-8280 | WordPress (Plugin) | Contact Form 7 Captcha projectのWordPress用Contact Form 7 Captchaにおけるクロスサイトスクリプティングの脆弱性 Contact Form 7 reCAPTCHA WordPressプラグインのバージョン1.2.0までには、$_SERVER['REQUEST_URI']パラメータを属性に出力する前にエスケープ処理を行っていなかったため、古いウェブブラウザで反射型クロスサイトスクリプティング(XSS)が発生する可能性があります。 |
Medium | JVN iPedia | |
| 2026/02/17(火) 15:06 | CVE-2025-64271 | WordPress (Plugin) | HasThemesのWordPress用wp plugin managerにおけるクロスサイトリクエストフォージェリの脆弱性 HasThemes WP Plugin Manager wp-plugin-manager にはクロスサイトリクエストフォージェリ(CSRF)の脆弱性があります。この問題は WP Plugin Manager のバージョン n/a から 1.4.7 以下のバージョンに影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/02/13(金) 16:54 | CVE-2025-39474 | WordPress (Plugin) | ThemeMoveのWordPress用AmelyにおけるSQL インジェクションの脆弱性 ThemeMove Amely における SQL コマンドで使用される特殊要素の不適切な無効化(「SQL インジェクション」)の脆弱性により、SQL インジェクション攻撃が可能です。この問題は Amely のバージョン n/a から 3.1.4 までに影響します。 |
Critical | JVN iPedia | |
| 2026/02/12(木) 16:20 | CVE-2025-8085 | WordPress (Plugin) | Metaphor Creations, LLCのWordPress用Dittyにおけるサーバサイドのリクエストフォージェリの脆弱性 Ditty WordPressプラグインのバージョン3.1.58未満には、displayItemsエンドポイントへのリクエストに対する認可および認証が欠如しているため、認証されていない訪問者が任意のURLにリクエストを行うことが可能です。 |
High | JVN iPedia | |
| 2026/02/06(金) 10:40 | CVE-2025-54701 | WordPress (Plugin) | ThemeMoveのWordPress用UniCampにおけるPHP リモートファイルインクルージョンの脆弱性 ThemeMove UnicampのPHPプログラムにおいて、インクルードおよびリクワイアステートメントのファイル名が適切に制御されていない脆弱性(PHPリモートファイルインクルージョン)が存在し、これによりPHPのローカルファイルインクルージョンが可能になります。この問題はUnicampのバージョンn/aから2.6.3までに影響を及ぼします。 |
Critical | JVN iPedia | |
| 2026/02/06(金) 10:38 | CVE-2025-54700 | WordPress (Plugin) | ThemeMoveのWordPress用MakeaholicにおけるPHP リモートファイルインクルージョンの脆弱性 ThemeMove MakeaholicのPHPプログラムにおいて、インクルードおよびリクワイアステートメントのファイル名が不適切に制御される脆弱性(PHPリモートファイルインクルージョン)により、PHPローカルファイルインクルージョンが可能となります。この問題はMakeaholicのn/aからバージョン1.8.4までに影響します。 |
Critical | JVN iPedia | |
| 2026/02/06(金) 10:38 | CVE-2024-51670 | WordPress (Plugin) | Joom SkyのWordPress用JS Help Deskにおけるクロスサイトスクリプティングの脆弱性 JS Help Desk - Best Help Desk & Support Pluginにおいて、ウェブページ生成時の入力が適切に無害化されない(XSS、すなわち「クロスサイトスクリプティング」の)脆弱性が存在し、これによりストアドXSSが発生します。この問題は、JS Help Desk - Best Help Desk & Support Pluginのバージョンn/aから2.8.7までに影響を与えます。 |
Medium | JVN iPedia | |
| 2026/02/05(木) 15:45 | CVE-2025-62972 | WordPress (Plugin) | WordPress用webinarpressにおける認証の欠如に関する脆弱性 WPWebinarSystem WebinarPress wp-webinarsystem における認証欠如の脆弱性により、不適切に構成されたアクセス制御のセキュリティレベルを悪用される可能性があります。この問題は WebinarPress のバージョン n/a から 1.33.28 以下に影響を及ぼします。 |
Medium | JVN iPedia | |
| 2026/02/02(月) 19:39 | CVE-2025-69092 | WordPress (Plugin) | WPDeveloperのWordPress用Essential Addons for Elementorにおけるクロスサイトスクリプティングの脆弱性 WPDeveloper Essential Addons for Elementorのessential-addons-for-elementor-liteにおいて、ウェブページ生成時の入力が適切に無害化されない(クロスサイトスクリプティング)脆弱性により、DOMベースのXSSが発生します。この問題はEssential Addons for Elementorのバージョンn/aから6.5.3以下に影響します。 |
Medium | JVN iPedia | |
| 2026/02/02(月) 19:39 | CVE-2025-68533 | WordPress (Plugin) | HasThemesのWordPress用WC Builderにおけるクロスサイトスクリプティングの脆弱性 HasThemes WC Builder wc-builder におけるウェブページ生成中の入力の不適切な中和により、クロスサイトスクリプティングの脆弱性が存在し、保存型のXSSが発生します。この問題は、WC Builder バージョン n/a から 1.2.0 以下に影響します。 |
Medium | JVN iPedia | |
| 2026/02/02(月) 19:31 | CVE-2025-66532 | WordPress (Plugin) | Qode InteractiveのWordPress用Powerliftにおける認証の欠如に関する脆弱性 Mikado-Themes Powerliftの権限認可の欠如により、誤って構成されたアクセス制御のセキュリティレベルが悪用される脆弱性があります。この問題は、Powerliftのバージョン3.2.1未満に影響します。 |
High | JVN iPedia | |
| 2026/02/02(月) 19:31 | CVE-2025-64368 | WordPress (Plugin) | Qode InteractiveのWordPress用Bardにおけるクロスサイトリクエストフォージェリの脆弱性 Mikado-Themes の Bard bardwp にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在し、悪意のある攻撃者がクロスサイトリクエストフォージェリを行う可能性があります。この問題は Bard のバージョン n/a から 1.6 以下に影響します。 |
Medium | JVN iPedia | |
| 2026/02/02(月) 19:31 | CVE-2025-64258 | WordPress (Plugin) | WPWeb EliteのWordPress用Follow My Blog Postにおける認可されていない制御領域への重要情報の漏えいに関する脆弱性 wpwebのFollow My Blog Post(フォロー・マイ・ブログ・ポスト)において、権限のない制御領域に機密システム情報が露出する脆弱性が存在します。この問題により、埋め込まれた機密データが取得可能となります。本脆弱性はFollow My Blog Postのバージョンn/aから2.3.9以下に影響を及ぼします。 |
High | JVN iPedia | |
| 2026/02/02(月) 19:31 | CVE-2025-60069 | WordPress (Plugin) | ThemeMoveのWordPress用MinimogwpにおけるPHP リモートファイルインクルージョンの脆弱性 ThemeMove の MinimogWP における PHP プログラムのインクルードおよびリクワイア文で、ファイル名の不適切な制御による脆弱性(『PHP リモートファイルインクルージョン』)が存在し、これにより PHP のローカルファイルインクルージョンが発生します。この問題は、MinimogWP のバージョン n/a から 3.9.6 までに影響を及ぼします。 |
High | JVN iPedia |
