脆弱性が指摘されているプラグイン
WordPressの脆弱性が指摘されているプラグイン(バージョンです)
WordPressだけが危険なわけではなく、WEB全てで共通に脆弱性は存在します。
作りっぱなしでななく、アップデートするなど 常に最新の状態にすることが大切です。
サイトへの無関心が一番 危険な要因です。
ただ、WordPressのフォーラムの常連回答者は、フォーラムに投稿されるハッキングされたという被害や、セキュリティ的にまずい書き方のPHPを日々目にしています。なので、何とかしなければという気持ちがどうしても強くなってしまいます。
下記を参考にしていただき、古いプラグインをアップデートしてみてはいかがでしょうか。
更新されていないプラグインは、それに変わる違うプラグインとして開発されている可能性もあります。
互換性の問題でアップデートができないようならば、原因となるプラグインやテーマを乗り換えることをお勧めします。
影響を受けるシステム | タイトル | 深刻度 | 公表日 | 最終更新日 | |
---|---|---|---|---|---|
Foliopress WYSIWYG 2.6.8.5 未満 | WordPress 用 Foliopress WYSIWYG プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2014/1/3 | 2014/1/10 |
Recommend to a friend 2.0.2 | WordPress 用 Recommend to a friend プラグインの inc/raf_form.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、current_url パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/12/24 | 2014/1/10 |
S3 Video 0.983 未満 | WordPress 用 S3 Video プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、base パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/12/17 | 2014/1/10 |
Advanced Dewplayer 1.2 | WordPress 用 Advanced Dewplayer プラグインの download-file.php におけるディレクトリトラバーサルの脆弱性 | 第三者により、.. (ドットドット) を含む dew_file パラメータを介して、任意のファイルを読まれる可能性があります。 | 5 | 2013/12/30 | 2014/1/7 |
Ad-minister 0.6 およびそれ以前 | WordPress 用 Ad-minister プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/tools.php の delete アクションの key パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/12/26 | 2014/1/7 |
Firefox Adsense 3.0 およびそれ以前 | WordPress 用 AskApache Firefox Adsense プラグインの askapache-firefox-adsense.php におけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、wp-admin/options-general.php の aafireadcode パラメータを介して、管理者の認証をハイジャックされ、クロスサイトスクリプティング攻撃を実行される可能性があります。 | 6.8 | 2013/12/26 | 2014/1/7 |
WP-Cron Dashboard 1.1.5 およびそれ以前 | WordPress 用 WP-Cron Dashboard プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/tools.php の procname パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/12/26 | 2014/1/7 |
FormCraft 1.3.7 およびそれ以前 | WordPress 用 FormCraft プラグインの form.php における SQL インジェクションの脆弱性 | 第三者により、id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2013/12/8 | 2013/12/24 |
Tweet Blender 4.0.2 未満 | WordPress 用 Tweet Blender プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/options-general.php の tb_tab_index パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/11/15 | 2013/11/26 |
Blue Wrench Video Widget 2.0.0 未満 | WordPress 用 Blue Wrench Video Widget プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、wp-admin/admin.php の bw-videos ページ内の bw_url パラメータを介して、管理者の認証をハイジャックされ、任意の URL を埋め込まれる可能性があります。 | 6.8 | 2013/10/23 | 2013/11/20 |
WP Ultimate Email Marketer 1.1.0 およびそれ以前 | WordPress 用 WP Ultimate Email Marketer プラグインにおけるリストまたはキャンペーンのデータを変更される脆弱性 | 第三者により、リストまたはキャンペーンのデータを変更される可能性があります。 | 6.4 | 2013/9/24 | 2013/11/7 |
WP Ultimate Email Marketer 1.1.0 およびそれ以前 | WordPress 用 WP Ultimate Email Marketer プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/9/24 | 2013/11/7 |
Cart66 Lite 1.5.1.15 未満 | WordPress 用 Cart66 Lite プラグインの Cart66Product.php におけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、管理者の認証をハイジャックされ、下記を実行される可能性があります。 | 6.8 | 2013/10/2 | 2013/11/5 |
Social Sharing Toolkit 2.1.2 未満 | WordPress 用 Social Sharing Toolkit プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 6.8 | 2013/10/17 | 2013/11/5 |
dhtmlxSpreadsheet 2.0 | WordPress 用 Spreadsheet プラグインの codebase/spreadsheet.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、”page” パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/10/22 | 2013/10/28 |
Social Sharing Toolkit 2.1.1 | WordPress 用 Social Sharing Toolkit プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、管理者の認証をハイジャックされ、プラグインの設定を操作される可能性があります。 | 4.3 | 2013/10/25 | 2013/10/28 |
Landing Pages 1.2.3 (20131009 未満) およびそれ以前 | WordPress 用 Landing Pages プラグインにおける SQL インジェクションの脆弱性 | 第三者により、index.php の “post” パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2013/10/9 | 2013/10/24 |
Mingle Forum 1.0.34 およびそれ以前 | WordPress 用 Mingle Forum プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、管理者の認証をハイジャックされ、(1) ユーザ権限を変更される、または (2) クロスサイトスクリプティング (XSS) 攻撃を実行される可能性があります。 | 6.8 | 2013/9/3 | 2013/10/11 |
Comment Attachment 1.0 | WordPress 用 Comment Attachment プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、”Attachment field title” を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/9/20 | 2013/10/7 |
Simple Dropbox Upload 1.8.8.1 未満 | WordPress 用 Simple Dropbox Upload プラグインの multi.php における任意のコードを実行される脆弱性 | 第三者により、実行可能な拡張子を持つファイルをアップロードされ、wp-content/uploads/wpdb/ 配下のファイルへ直接のリクエストを介してアクセスされることで、任意のコードを実行される可能性があります。 | 6.8 | 2013/9/17 | 2013/10/2 |
Complete Gallery Manager 3.3.4 rev40279 未満 | WordPress 用 Complete Gallery Manager プラグインの frames/upload-images.php における任意のコードを実行される脆弱性 | 第三者により、実行可能な拡張子を持つファイルをアップロードされ、wp-content/[year]/[month]/ 配下のファイルへ直接のリクエストを介してアクセスされることで、任意のコードを実行される可能性があります。 | 5.1 | 2013/9/19 | 2013/10/2 |
Lazy SEO 1.1.9 | WordPress 用 Lazy SEO プラグインの lazyseo.php における任意の PHP コードを実行される脆弱性 | 第三者により、PHP ファイルをアップロードされ、lazy-seo/ のファイルに対して直接リクエストされることで、任意の PHP コードを実行される可能性があります。 | 6.8 | 2013/9/22 | 2013/10/2 |
BackWPup 3.0.13 未満 | WordPress 用 BackWPup プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php の tab パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/8/12 | 2013/9/27 |
Platinum SEO プラグイン 1.3.8 未満 | WordPress 用 Platinum SEO プラグインの platinum_seo_pack.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、s パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/9/12 | 2013/9/25 |
Design Approval System プラグイン 3.7 未満 | WordPress 用 Design Approval System プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、step パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/9/7 | 2013/9/19 |
Testimonial プラグイン 2.2 | WordPress 用 IndiaNIC Testimonial プラグインにおける SQL インジェクションの脆弱性 | 第三者により、wp-admin/admin-ajax.php の testimonial_add アクションの custom_query パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2013/9/1 | 2013/9/12 |
Testimonial プラグイン 2.2 | WordPress 用 IndiaNIC Testimonial プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、wp-admin/admin-ajax.php の testimonial_add アクションの custom_query パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 6.8 | 2013/9/1 | 2013/9/12 |
Live Streaming Integration プラグイン 4.25.3 およびそれ以前 | WordPress 用 VideoWhisper Live Streaming Integration プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、(1) name または (2) message パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/8/23 | 2013/9/11 |
Download Monitor 3.3.6.2 未満 | WordPress 用 Download Monitor プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、sort パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/6/5 | 2013/8/13 |
Download Monitor 3.3.6.2 未満 | WordPress 用 Download Monitor プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、p パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/6/5 | 2013/8/13 |
Duplicator 0.4.5 未満 | WordPress 用 Duplicator プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、package パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/7/21 | 2013/8/13 |
Xhanch – My Twitter 2.7.7 未満 | WordPress 用 Xhanch – My Twitter プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、管理者の認証をハイジャックされ、不特定の設定を変更される可能性があります。 | 6.8 | 2013/8/2 | 2013/8/13 |
SexyBookmarks 6.1.4.0 | WordPress 用 Shareaholic SexyBookmarks プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、ユーザの認証をハイジャックされ、プラグイン設定を操作 (manipulate plugin settings) される可能性があります。 | 6.8 | 2013/8/1 | 2013/8/12 |
Pie-Register 1.31 未満 | WordPress 用 Genetech Solutions Pie-Register プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、register アクションの (1) pass1 または (2) pass2 パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 2.6 | 2013/7/13 | 2013/7/31 |
BuddyPress Extended Friendship Request 1.0.2 未満 | WordPress 用 BuddyPress Extended Friendship Request プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin-ajax.php の friendship_request_message パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 2.6 | 2013/7/2 | 2013/7/31 |
Sharebar 1.2.5 | WordPress 用 Sharebar プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する管理者認証をハイジャックされ、以下の操作をされる可能性があります。 | 6.8 | 2013/7/4 | 2013/7/17 |
Dropdown Menu Widget 1.9.1 | WordPress 用 Dropdown Menu Widget プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する任意のユーザ認証をハイジャックされ、クロスサイトスクリプティングのシーケンスを挿入される可能性があります。 | 6.8 | 2013/7/4 | 2013/7/16 |
TinyMCE TinyMCE Media WordPress.org WordPress 3.5.2 未満 |
WordPress の TinyMCE Media プラグインで使用される Moxiecode moxieplayer における Flash アプリケーションに任意のパラメータを渡される脆弱性 | 第三者により、? (クエスチョンマーク) の後の巧妙に細工された文字列を介して、Flash アプリケーションに任意のパラメータを渡される、およびコンテンツスプーフィング攻撃 (content-spoofing attack) を実行される可能性があります。 | 4.3 | 2013/6/21 | 2013/8/19 |
WP Maintenance Mode プラグイン 1.8.8 未満 | WordPress 用 WP Maintenance Mode プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する任意のユーザ認証をハイジャックされ、プラグインの設定を変更される可能性があります。 | 6.8 | 2013/6/5 | 2013/6/25 |
GRAND FlAGallery 2.72 未満 | WordPress 用 GRAND FlAGallery プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、flag-manage-gallery アクションの s パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/5/20 | 2013/6/4 |
Feedweb 1.9 未満 | WordPress 用 Feedweb プラグインにおけるクロスサイトスクリプティングの脆弱性 | リモート認証された管理者により、wp_post_id パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/3/31 | 2013/6/3 |
Spider Video Player 2.1 | Drupal 用 Web Dorado Spider Video Player プラグインの settings.php における SQL インジェクションの脆弱性 | 第三者により、theme パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2013/5/10 | 2013/5/14 |
Spiffy XSPF Player 0.1 | WordPress 用 Spiffy XSPF Player プラグインの playlist.php における SQL インジェクションの脆弱性 | 第三者により、playlist_id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2013/5/10 | 2013/5/14 |
WP FuneralPress 1.1.7 未満 | WordPress 用 WP FuneralPress プラグインの user/obits.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、(1) message パラメータ、(2) photo-message パラメータ、または (3) youtube-message パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/5/10 | 2013/5/14 |
Traffic Analyzer 3.3.2 およびそれ以前 | WordPress 用 Traffic Analyzer プラグインの js/ta_loaded.js.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、avoid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/5/10 | 2013/5/14 |
WP Photo Album Plus 5.0.3 未満 | WordPress 用 WP Photo Album Plus プラグインの wp-admin/admin.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、wppa_manage_comments の edit アクションの commentid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/5/6 | 2013/5/13 |
Login With Ajax 3.1 未満 | WordPress 用 Login With Ajax プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する任意のユーザ認証をハイジャックされ、プラグインの設定を変更される可能性があります。 | 6.8 | 2013/5/6 | 2013/5/13 |
Facebook Members 5.0.5 未満 | WordPress 用 Facebook Members プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する管理者認証をハイジャックされ、プラグインの設定を変更される可能性があります。 | 6.8 | 2013/4/22 | 2013/5/8 |
Easy AdSense Lite 6.10 未満 | WordPress 用 Easy AdSense Lite プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する任意のユーザ認証をハイジャックされ、プラグインの設定を変更される可能性があります。 | 6.8 | 2013/4/30 | 2013/5/8 |
Foursquare Checkins 1.3 未満 | WordPress 用 FourSquare Checkins プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する認証をハイジャックされ、XSS シークエンスを挿入される可能性があります。 | 6.8 | 2013/4/22 | 2013/4/30 |
All in One Webmaster 8.2.4 未満 | WordPress 用 All in One Webmaster プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する認証をハイジャックされ、XSS シークエンスを挿入される可能性があります。 | 6.8 | 2013/4/22 | 2013/4/30 |
Social Media Widget 4.0 | WordPress 用 Social Media Widget プラグインにおける任意のファイルのアップロードを強制される脆弱性 | 第三者により、任意のファイルのアップロードを強制される可能性があります。 | 5 | 2013/4/9 | 2013/4/30 |
WP-DownloadManager 1.61 未満 | WordPress 用 WP-DownloadManager プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、リクエストに対する認証をハイジャックされ、XSS シークエンスを挿入される可能性があります。 | 6.8 | 2013/4/5 | 2013/4/23 |
BackupBuddy 2.2.25 | WordPress 用 BackupBuddy プラグインにおける設定情報を取得される脆弱性 | 第三者により、phpinfo 関数を呼び出す step 0 phpinfo アクションを介して、設定情報を取得される可能性があります。 | 5 | 2013/4/2 | 2013/4/3 |
iThemes BackupBuddy 1.3.4 BackupBuddy 2.1.4 BackupBuddy 2.2.25 BackupBuddy 2.2.28 BackupBuddy 2.2.4 |
WordPress 用 BackupBuddy プラグインにおける認証を回避される脆弱性 | 第三者により、巧妙に細工された step パラメータの整数を介して、認証を回避される可能性があります。 | 7.5 | 2013/4/2 | 2013/4/3 |
iThemes BackupBuddy 1.3.4 BackupBuddy 2.1.4 BackupBuddy 2.2.25 BackupBuddy 2.2.28 BackupBuddy 2.2.4 |
WordPress 用 BackupBuddy プラグインにおけるアクセス権を取得される脆弱性 | 第三者により、importbuddy.php スクリプトへのリクエストを介して、アクセス権を取得される可能性があります。 | 7.5 | 2013/4/2 | 2013/4/3 |
iThemes BackupBuddy 1.3.4 BackupBuddy 2.1.4 BackupBuddy 2.2.25 BackupBuddy 2.2.28 BackupBuddy 2.2.4 |
WordPress 用 BackupBuddy プラグインにおける重要な情報を取得される脆弱性 | 第三者により、重要な情報を取得される、ファイルを上書きされる、または削除される可能性があります。 | 7.5 | 2013/4/2 | 2013/4/3 |
Terillion Reviews プラグイン 1.2 未満 | WordPress 用 Terillion Reviews プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、ProfileId フィールドを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/3/18 | 2013/4/4 |
MailUp plugin for WordPress 1.3.2 未満 | WordPress 用 MailUp プラグインにおけるプラグインの設定を変更される脆弱性 | 第三者により、プラグインの設定を変更される、およびクロスサイトスクリプティング攻撃を実行される可能性があります。 | 5 | 2013/3/15 | 2013/3/25 |
MailUp plugin for WordPress 1.3.3 未満 | WordPress 用 MailUp プラグインにおけるプラグインの設定を変更される脆弱性 | 第三者により、wordpress_logged_in cookie を設定されることで、プラグインの設定を変更される、およびクロスサイトスクリプティング攻撃を実行される可能性があります。 | 5 | 2013/3/15 | 2013/3/25 |
Featurific For WordPress 1.6.2 | WordPress 用 Featurific For WordPress プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、snum パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/2/12 | 2013/2/15 |
Lazyest Backup 0.2.2 未満 | WordPress 用 Lazyest Backup プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、xml_or_all パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/2/12 | 2013/2/15 |
Audio Player 2.0.4.6未満 | WordPress 用 Audio Player プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、playerID パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/1/30 | 2013/2/8 |
WP-Table Reloaded 1.9.4未満 | WordPress 用 WP-Table Reloaded モジュール におけるクロスサイトスクリプティングの脆弱性 | 第三者により、ID パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/1/27 | 2013/2/8 |
My Calendar 1.10.2 未満 | WordPress 用 My Calendar プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、PATH_INFO を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 2.6 | 2013/1/6 | 2013/2/1 |
Organizer 1.2.1 | WordPress 用 Organizer プラグインにおけるインストールパスを取得される脆弱性 | 第三者により、インストールパスを取得される可能性があります。 | 5 | 2013/1/24 | 2013/1/25 |
Organizer 1.2.1 | WordPress 用 Organizer プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php の “Update Setting” アクションの (1) delete_id パラメータ、または (2) extension パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/1/24 | 2013/1/25 |
Advanced Text Widget 2.0.2 未満 | WordPress 用 Advanced Text Widget プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、page パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2013/1/24 | 2013/1/25 |
Age Verification 0.4 およびそれ以前 | WordPress 用 Age Verification プラグインにおけるオープンリダイレクトの脆弱性 | 第三者により、redirect_to パラメータに含まれた URL を介して、ユーザを任意の Web サイトにリダイレクトされ、フィッシング攻撃を実行される可能性があります。 | 5.8 | 2013/1/12 | 2013/1/16 |
Connections 0.7.1.6 未満 | WordPress 用の Connections プラグインにおける脆弱性 | 不特定の影響を受ける可能性があります。 | 10 | 2011/6/15 | 2013/1/16 |
WP PHP widget 1.0.2 | WordPress 用 WP PHP widget プラグインにおける重要な情報を取得される脆弱性 | 第三者により、直接のリクエストを介して、重要な情報を取得される可能性があります。 | 5 | 2013/1/2 | 2013/1/7 |
SWFUpload Project SWFUpload 2.2.0.1 およびそれ以前 TinyMCE Image Manager 1.1 WordPress.org WordPress 3.3.2 未満 |
WordPress および TinyMCE Image Manager などの製品で使用される SWFUpload におけるクロスサイトスクリプティングの脆弱性 | 第三者により、movieName パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/17 | 2013/7/22 |
Zingiri Web Shop 2.4.0 | WordPress 用 Zingiri Web Shop プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、(1) zing.inc.php の page パラメータ、または (2) fws/pages-front/onecheckout.php の notes パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/4/28 | 2013/1/25 |
Portable phpMyAdmin 1.3.1 未満 | WordPress 用 Portable phpMyAdmin プラグインにおける認証を回避される脆弱性 | 第三者により、wp-content/plugins/portable-phpmyadmin/wp-pma-mod への直接のリクエストを介して、認証を回避され、phpMyAdmin コンソールのアクセス権を取得される可能性があります。 | 7.5 | 2012/12/20 | 2012/12/21 |
Simple Gmail Login 1.1.4 未満 | WordPress 用 Simple Gmail Login プラグインにおける重要な情報を取得される脆弱性 | 第三者により、スタックトレース内のインストールパスの漏えいを引き起こすタイムゾーンが欠如したリクエストを介して、重要な情報を取得される可能性があります。 | 5 | 2012/12/11 | 2012/12/13 |
Video Lead Form | WordPress 用 Video Lead Form プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php の ideo-lead-form アクション内の errMsg パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/12/11 | 2012/12/13 |
Uk Cookie | WordPress 用 Uk Cookie プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/11/17 | 2012/11/20 |
WordPress Sentinel 1.0.0 | WordPress 用 Sentinel プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、スナップショットを誘発され、そのリクエストに対する管理者認証をハイジャックされる可能性があります。 | 6.8 | 2012/10/25 | 2012/10/29 |
WordPress Sentinel 1.0.0 | WordPress 用 Sentinel プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/10/25 | 2012/10/29 |
WordPress Sentinel 1.0.0 | WordPress 用 Sentinel プラグインにおける SQL インジェクションの脆弱性 | 第三者により、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2012/10/25 | 2012/10/29 |
SCORM Cloud For WordPress 1.0.7 未満 | WordPress 用 SCORM Cloud For WordPress プラグインにおける SQL インジェクションの脆弱性 | 第三者により、active パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2012/10/25 | 2012/10/29 |
White Label CMS 1.5 | WordPress 用 White Label CMS プラグインの wlcms-plugin.php におけるクロスサイトスクリプティングの脆弱性 | リモート認証された管理者により、wp-admin/admin.php の save アクションの wlcms_o_developer_name パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/10/24 | 2012/10/25 |
White Label CMS 1.5.1 未満 | WordPress 用 White Label CMS プラグインの wlcms-plugin.php におけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、wp-admin/admin.php の save アクションの wlcms_o_developer_name パラメータを介して、開発者名を変更するリクエストに対する管理者認証をハイジャックされる可能性があります。 | 6.8 | 2012/10/24 | 2012/10/25 |
Pay With Tweet 1.2 未満 | WordPress 用 Pay With Tweet プラグインにおける SQL インジェクションの脆弱性 | 特定の権限を持つリモート認証されたユーザにより、paywithtweet ショートコードの id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 6 | 2012/10/9 | 2012/10/12 |
Pay With Tweet 1.2 未満 | WordPress 用 Pay With Tweet プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、(1) link、(2) title、または (3) dl パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 2.6 | 2012/10/9 | 2012/10/12 |
BackWPup 1.7.2 未満 | WordPress 用 BackWPup プラグインにおける PHP リモートファイルインクルージョンの脆弱性 | 第三者により、wpabs パラメータの URL を介して、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/10/8 | 2012/10/11 |
Kish Guest Posting プラグイン 1.2 | WordPress 用 Kish Guest Posting プラグインにおける任意のコードを実行される脆弱性 | 第三者により、二重の拡張子を持つファイルを folder パラメータで指定されたディレクトリにアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 6.8 | 2012/10/8 | 2012/10/11 |
WP e-Commerce 3.8.7.6 未満 | WordPress 用 WP e-Commerce プラグインにおける SQL インジェクションの脆弱性 | 第三者により、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2012/10/8 | 2012/10/11 |
Mingle Forum 1.0.32.1 | WordPress 用 Mingle Forum プラグインにおける SQL インジェクションの脆弱性 | リモート認証されたユーザにより、下記のパラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 6.5 | 2012/10/8 | 2012/10/11 |
Mingle Forum 1.0.32.1 | WordPress 用 Mingle Forum プラグインの fs-admin/fs-admin.php における SQL インジェクションの脆弱性 | リモート認証されたユーザにより、(1) delete_usergroups アクションの delete_usrgrp[] パラメータ、(2) add_user_togroup アクションの usergroup パラメータ、または (3) add_forum_submit アクションの add_forum_group_id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 6.5 | 2012/10/8 | 2012/10/11 |
Shortcode Redirect 1.0.01 およびそれ以前 | WordPress 用 Shortcode Redirect プラグインにおけるクロスサイトスクリプティングの脆弱性 | 特定の権限を持つリモート認証されたユーザにより、redirect タグ内の (1) url または (2) sec 属性を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 2.1 | 2012/10/8 | 2012/10/11 |
BackWPup 1.4.1 未満 | WordPress 用 BackWPup プラグインにおけるディレクトリトラバーサルの脆弱性 | 第三者により、下記の項目の .. (ドットドット) を含む wpabs パラメータを介して、任意のファイルを読まれる可能性があります。 | 5 | 2012/10/8 | 2012/10/11 |
MF Gig Calendar 0.9.2 | WordPress 用 MF Gig Calendar プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、カレンダーページへのクエリ文字列を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/10/1 | 2012/10/3 |
Slideshow Gallery 2 | WordPress 用 Slideshow Gallery2 プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、border パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/10/1 | 2012/10/3 |
Whois Search 1.4.2.3 未満 | WordPress 用 Whois Search プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、domain パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/1/1 | 2012/9/26 |
Whois Search 1.4.2.3 未満 | WordPress 用 Whois Search プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、index.php の domain パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/1/1 | 2012/9/26 |
Pretty Link Lite プラグイン 1.5.6 未満 | WordPress 用 Pretty Link Lite プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、slug パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/1/6 | 2012/9/26 |
ZooEffect 1.01 | WordPress 用 ZooEffect プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、page パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/9/20 | 2012/9/21 |
Skysa App Bar Integration 1.04 未満 | WordPress 用 Skysa App Bar Integration プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、submit パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/9/20 | 2012/9/21 |
BuddyPress 1.5.5 未満の 1.5.x | WordPress 用 BuddyPress プラグインの wp-load.php における SQL インジェクションの脆弱性 | 第三者により、activity_widget_filter アクションの page パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2012/9/4 | 2012/9/6 |
Adminimize 1.7.22 未満 | WordPress 用 Adminimize プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/29 | 2012/8/31 |
Adminimize 1.7.22 未満 | WordPress 用 Adminimize プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、page パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/29 | 2012/8/31 |
Alert Before Your Post 0.1.1 およびそれ以前 | WordPress 用 Alert Before Your Post プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、name パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/23 | 2012/8/27 |
Flexible Custom Post Type 0.1.7 未満 | WordPress 用 Flexible Custom Post Type プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、id パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/23 | 2012/8/27 |
P e-Commerce 3.8.7.1 およびそれ以前 | WordPress 用 WP e-Commerce プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、custom_text パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/23 | 2012/8/27 |
ShareYourCart 1.7.1 | WordPress 用 ShareYourCart プラグインにおけるインストールパスを取得される脆弱性 | 第三者により、インストールパスを取得される可能性があります。 | 5 | 2012/8/14 | 2012/8/17 |
All-in-One Event Calendar 1.4 All-in-One Event Calendar 1.5 |
WordPress 用 All-in-One Event Calendar プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、下記のパラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/14 | 2012/8/17 |
Image News slider 3.3 未満 | WordPress 用 Image News slider プラグインにおける脆弱性 | 不特定の影響を受ける可能性があります。 | 7.5 | 2012/8/14 | 2012/8/17 |
2 Click Social Media Buttons 0.34 未満 | WordPress 用 2 Click Social Media Buttons プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、xing-url パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/4/18 | 2012/8/15 |
2 Click Social Media Buttons 0.34 未満 | WordPress 用 2 Click Social Media Buttons プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/4/18 | 2012/8/15 |
Bad Behavior 2.0.47 未満 Bad Behavior 2.2.5 未満の 2.2.x |
WordPress 用 Bad Behavior プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、(1) PATH_INFO、(2) httpbl_key、(3) httpbl_maxage、(4) httpbl_threat、(5) reverse_proxy_addresses、または (6) reverse_proxy_header パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/13 | 2012/8/15 |
BulletProof Security .47.1 未満 | WordPress 用 BulletProof Security プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、HTTP_ACCEPT_ENCODING ヘッダを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/11 | 2012/8/15 |
Better WP Security 3.2.5 未満 | WordPress 用 Better WP Security プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/11 | 2012/8/15 |
Better WP Security 3.2.5 未満 | WordPress 用 Better WP Security プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、HTTP_USER_AGENT ヘッダを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/11 | 2012/8/15 |
Login With Ajax 3.0.4.1 未満 | WordPress 用 Login With Ajax プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、callback パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/13 | 2012/8/15 |
WP-FaceThumb 0.1 | WordPress 用 WP-FaceThumb プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、pagination_wp_facethumb パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/8/13 | 2012/8/15 |
Zingiri Web Shop 2.4.0 未満 | WordPress 用 Zingiri Web Shop プラグインにおける脆弱性 | 不特定の影響を受ける可能性があります。 | 10 | 2012/7/18 | 2012/7/23 |
Font Uploader 1.2.4 | WordPress 用 Font Uploader プラグインの font-upload.php における任意の PHP コードを実行される脆弱性 | 第三者により、.php.ttf 拡張子を含む PHP ファイルを font-uploader/fonts 内にアップロードされ、そのファイルへ直接アクセスされることで、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/6/27 | 2012/7/2 |
Plugin Newsletter プラグイン 1.5 | WordPress 用 Plugin Newsletter プラグインにおけるディレクトリトラバーサルの脆弱性 | 第三者により、.. (ドットドット) を含む data パラメータを介して、任意のファイルを読まれる可能性があります。 | 5 | 2012/6/19 | 2012/6/21 |
FCChat Widget 2.2.13.1 およびそれ以前 | WordPress 用 FCChat Widget プラグインの html/Upload.php における任意のコードを実行される脆弱性 | 第三者により、html/images に実行可能な拡張子を含むファイルをアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 6.8 | 2012/6/17 | 2012/6/19 |
Nmedia Member Conversation 1.4 未満 | WordPress 用 Nmedia Member Conversation プラグインにおける任意のコードを実行される脆弱性 | 第三者により、wp-content/uploads/user_uploads に実行可能な拡張子を含むファイルをアップロードされ、 そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 7.5 | 2012/6/17 | 2012/6/19 |
wpStoreCart 2.5.30 未満 | WordPress 用 wpStoreCart プラグインの php/upload.php における任意のコードを実行される脆弱性 | 第三者により、uploads/wpstorecart に実行可能な拡張子を含むファイルをアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 10 | 2012/6/16 | 2012/6/19 |
RBX Gallery 2.1 | WordPress 用 RBX Gallery プラグインの uploader.php における任意のコードを実行される脆弱性 | 第三者により、uploads/rbxslider に実行可能な拡張子を含むファイルをアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 10 | 2012/6/16 | 2012/6/19 |
MM Forms Community 2.2.5 MM Forms Community 2.2.6 |
WordPress 用 MM Forms Community プラグインにおける任意のコードを実行される脆弱性 | 第三者により、upload/temp に実行可能な拡張子を含むファイルをアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 7.5 | 2012/6/16 | 2012/6/19 |
Login With Ajax 3.0.4.1 未満 | WordPress 用 Login With Ajax プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-login.php への lostpassword アクションの callback パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/22 | 2012/5/24 |
User Photo 0.9.5.2 未満 | WordPress 用 User Photo プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/options-general.php への PATH_INFO を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/21 | 2012/5/23 |
Share and Follow 1.80.3 | WordPress 用 Share and Follow プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php の share-and-follow-menu ページの CDN API キー (cnd-key) を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/21 | 2012/5/23 |
Sabre 2.1 未満 | WordPress 用 Sabre プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/tools.php の active_option パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/21 | 2012/5/23 |
Leaflet 0.0.1 | WordPress 用 Leaflet プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php にリーチ可能な (1) leaflet_layer.php、または (2) leaflet_marker.php の id パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/21 | 2012/5/23 |
LeagueManager 3.7 | WordPress 用 LeagueManager プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、wp-admin/admin.php の (1) show-league ページの group パラメータ、または (2) team ページの season パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/5/21 | 2012/5/23 |
s2Member Pro プラグイン 111220 未満 | WordPress 用 s2Member Pro プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、s2member_pro_authnet_checkout[coupon] パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/3/19 | 2012/3/22 |
Relocate Upload 0.20 未満 | WordPress 用 Relocate Upload プラグインにおける PHP リモートファイルインクルージョンの脆弱性 | 第三者により、abspath パラメータの URL を介して、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/2/24 | 2012/2/27 |
WP-RecentComments 2.0.7 未満 | WordPress 用 WP-RecentComments プラグインの rc_ajax 関数におけるクロスサイトスクリプティングの脆弱性 | 第三者により、page パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/2/14 | 2012/2/17 |
WP-RecentComments 2.0.7 | WordPress 用 WP-RecentComments プラグインにおける SQL インジェクションの脆弱性 | 三者により、index.php の rc-content アクションの id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2012/2/14 | 2012/2/17 |
AllWebMenus plugin 1.1.8 | WordPress 用 AllWebMenus プラグインの actions.php における任意の PHP コードを実行される脆弱性 | 第三者により、HTTP_REFERER に特定の値を含めることでアクセス制限を回避して、不特定のディレクトリ内にアップロードした PHP ファイルを含む ZIP ファイルへ直接リクエストすることで、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/2/7 | 2012/2/9 |
AllWebMenus plugin 1.1.8 未満 | WordPress 用 AllWebMenus プラグインの actions.php における任意の PHP コードを実行される脆弱性 | 第三者により、不特定のディレクトリ内にアップロードした PHP ファイルを含む ZIP ファイルへ直接リクエストすることで、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/2/7 | 2012/2/9 |
Theme Tuner プラグイン 0.8 未満 | WordPress 用 Theme Tuner プラグインにおける任意の PHP コードを実行される脆弱性 | 第三者により、tt-abspath パラメータの URL を介して、任意の PHP コードを実行される可能性があります。 | 7.5 | 2012/1/29 | 2012/2/1 |
YouSayToo auto-publishing プラグイン 1.0 | WordPress 用 YouSayToo auto-publishing プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、submit パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2012/1/20 | 2012/1/25 |
myEASYbackup 1.0.8.1 | WordPress 用 myEASYbackup プラグインにおけるディレクトリトラバーサルの脆弱性 | 第三者により、.. (ドットドット) を含む dwn_file パラメータを介して、任意のファイルを読まれる可能性があります。 | 5 | 2012/1/20 | 2012/1/25 |
WP Symposium 11.12.24 未満 | WordPress 用の WP Symposium プラグインにおける任意のコードを実行される脆弱性 | 第三者により、webroot 内の不特定のディレクトリにあるファイルへの直接のリクエストを介して、任意のコードを実行される可能性があります。 | 7.5 | 2012/1/4 | 2012/1/6 |
WassUp バージョン 1.8.3 およびそれ以前 | WordPress 用プラグイン WassUp におけるクロスサイトスクリプティングの脆弱性 | ユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。 | 5 | 2012/6/6 | 2012/6/6 |
Kish Guest Posting プラグイン 1.2 未満 | WordPress 用 Kish Guest Posting プラグインにおける任意のコードを実行される脆弱性 | 第三者により、PHP 拡張子を持つファイルを folder パラメータで指定されたディレクトリにアップロードされ、そのファイルに直接アクセスされることで、任意のコードを実行される可能性があります。 | 6.8 | 2011/7/2 | 2012/10/11 |
TheCartPress 1.1.6 未満 TheCartPress 2011/12/31 より前にリリースされた 1.1.6 |
WordPress 用 TheCartPress プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、tcp_name_post_XXXXX パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/12/31 | 2012/10/9 |
Pretty Link Lite プラグイン 1.5.4 未満 | WordPress 用 Pretty Link Lite プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、slug パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/12/12 | 2012/9/26 |
wp related posts 1.0 | WordPress の WP Related Posts プラグインの設定スクリーンにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、(1) wp_relatedposts_title、(2) wp_relatedposts_num、または (3) wp_relatedposts_type パラメータを介して、クロスサイトスクリプティングを挿入する要求の管理者認証をハイジャックされる可能性があります。 | 4.3 | 2011/3/28 | 2012/3/27 |
wp-recaptcha WordPress 版 2.9.8.2 | WordPress の Recaptcha プラグインにおけるクロスサイトリクエストフォージェリの脆弱性 | 第三者により、以下のパラメータを介して、CAPTCHA の必要条件を無効にするリクエストの管理者認証をハイジャックまたはクロススクリプティングシーケンスを挿入される可能性があります。 | 6.8 | 2011/3/22 | 2012/3/27 |
edgetechweb event registration 5.32 およびそれ以前 WordPress.org WordPress |
Event Registration プラグインにおける SQL インジェクションの脆弱性 | 第三者により、register アクションの event_id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2011/9/13 | 2012/3/27 |
pleer wp-twitter-feed 0.3.1 WordPress.org WordPress |
WordPress 用の Twitter Feed プラグイン の magpie_debug.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、url パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/8/24 | 2012/3/27 |
BraveNewCode WPtouch 1.9.19.4 および 9.20 WordPress.org WordPress |
WordPress の WPtouch プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、include/adsense-new.php への wptouch_settings パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/4/7 | 2012/3/27 |
Video Embed & Thumbnail Generator プラグイン 2.0 未満 | WordPress 用 Video Embed & Thumbnail Generator プラグインにおけるインストールパスを取得される脆弱性 | 第三者により、インストールパスを取得される可能性があります。 | 5 | 2012/3/19 | 2012/3/22 |
Video Embed & Thumbnail Generator プラグイン 2.0 未満 | WordPress 用 Video Embed & Thumbnail Generator プラグインにおける任意のコマンドを実行される脆弱性 | 第三者により、任意のコマンドを実行される可能性があります。 | 7.5 | 2012/3/19 | 2012/3/22 |
Vodpod Video Gallery 3.1.5 | WordPress 用 Vodpod Video Gallery プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、gid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/10/7 | 2012/1/19 |
WP Symposium 11.12.08 未満 | WordPress 用の WP Symposium プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、uid パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/12/7 | 2011/12/28 |
Wptouch | WordPress 用の WPTouch プラグインにおける SQL インジェクションの脆弱性 | 第三者により、id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2011/12/14 | 2011/12/16 |
Jetpack | WordPress 用 Jetpack プラグインにおける SQL インジェクションの脆弱性 | 第三者により、id パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2011/12/2 | 2011/12/6 |
AdRotate 3.6.6 AdRotate 3.6.8 未満 |
WordPress 用 AdRotate プラグインにおける SQL インジェクションの脆弱性 | 第三者により、track パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2011/12/2 | 2011/12/6 |
WordPress User プラグイン 1.3 およびそれ以前 | WordPress 用 WordPress Users プラグインの wp-users.php における SQL インジェクションの脆弱性 | 第三者により、index.php に対する uid パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2011/12/2 | 2011/12/5 |
WP-PostRatings 1.50 WP-PostRatings 1.61 1.62 未満のその他のバージョン |
WordPress 用 WP-PostRatings プラグインにおける SQL インジェクションの脆弱性 | Author の役割としてリモート認証されたユーザにより、post 作成の際、ratings ショートコードの id 属性を介して、任意の SQL コマンドを実行される可能性があります。 | 6 | 2011/11/30 | 2011/12/1 |
FV WordPress Flowplayer 1.2.12 未満 WordPress |
WordPress 用 Flowplayer プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、URI を介して、任意の Web スクリプトまたは HTML を挿入される可能性があります | 4.3 | 2011/11/29 | 2011/11/30 |
Redirection plugin 2.2.9 | WordPress 用 Redirection プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、存在しない POST へのリクエスト内にある Referer HTTP ヘッダを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2011/11/28 | 2011/11/30 |
AllWebMenus plugin 1.1.3 | WordPress 用 Allwebmenus プラグイン内にある actions.php における任意の PHP コードを実行される脆弱性 | 第三者により、abspath パラメータの URL を介して、任意の PHP コードを実行される可能性があります。 | 7.5 | 2011/10/4 | 2011/10/11 |
mylinksdump plugin 1.2 | WordPress 用の myLinksDump プラグインにおける SQL インジェクションの脆弱性 | 第三者により、url パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2010/7/30 | 2012/12/20 |
alex rabe nextgen gallery 1.5.2 未満 WordPress.org WordPress |
WordPress の NextGEN Gallery プラグインの xml/media-rss.php におけるクロスサイトスクリプティングの脆弱性 | 第三者により、mode パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2010/4/7 | 2012/6/26 |
copperleaf photolog 0.16 およびそれ以前 WordPress.org WordPress |
WordPress の Copperleaf Photolog プラグインの cplphoto.php における SQL インジェクションの脆弱性 | 第三者により、postid パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2010/2/22 | 2012/6/26 |
andrew charlton my category order 2.8 およびそれ以前 WordPress.org WordPress |
WordPress の My Category Order プラグインの mycategoryorder.php における SQL インジェクションの脆弱性 | 第三者により、wp-admin/post-new.php への act_OrderCategories アクションの parentID パラメータを介して、任意の SQL コマンドを実行される可能性があります。 | 7.5 | 2010/3/26 | 2012/6/26 |
grupenet wp-lytebox 1.3 WordPress.org WordPress |
WordPress 用 WP-Lytebox プラグインの main.php におけるディレクトリトラバーサルの脆弱性 | 第三者により、.. (ドットドット) を含む pg パラメータを介して、ローカルファイルをインクルードされる、および実行される可能性があります。 | 7.5 | 2010/3/5 | 2012/6/26 |
feedlist WordPress 版 2.61.01 | WordPress の FeedList プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、i パラメータを介して、任意の Web スクリプトまたは HTML 挿入される可能性があります。 | 4.3 | 2010/12/30 | 2012/3/27 |
wp-survey-and-quiz-tool WordPress 版 1.2.1 | WordPress の WP Survey And Quiz Tool プラグインにおけるクロスサイトスクリプティングの脆弱性 | 第三者により、action パラメータを介して、任意の Web スクリプトまたは HTML 挿入される可能性があります。 | 4.3 | 2010/12/30 | 2012/3/27 |
wp-safe-search WordPress 版 0.7 | WordPress の Safe Search プラグインにおける クロスサイトスクリプティングの脆弱性 | 第三者により、v1 パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性があります。 | 4.3 | 2010/12/9 | 2012/3/27 |
register-plus WordPress 版 3.5.1 およびそれ以前 | WordPress の Register Plus プラグインにおける重要な情報を取得される脆弱性 | 第三者により、(1) dash_widget.php および (2) register-plus.php への直接リクエストを介して、重要な情報を取得される可能性があります。 | 5 | 2010/12/6 | 2012/3/27 |
個人のサイトだから…、小さいサイトだから、と安心したり、油断しないでください。
自分のサイトがスパムメールの踏み台として、サイト改ざんされウイルスを配布するなど、自分のサイトが他所を攻撃したり、被害を与える可能性があります。
参考資料
・JVN