TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

WordPress (まとめ)

【目次】

概要

【概要】
CVE番号
NVD
CVSS v3
CWE
脆弱性
備考
2021/12/14 CVE-2021-25036 NVD 8.8 CWE-287 特権昇格
2021/12/14 CVE-2021-25037 NVD 6.5 CWE-89 SQL インジェクション
2022/02/08 CVE-2022-24663 NVD 9.9 CWE-94 Code Injection ショートコードによるリモートコード実行の脆弱性,
2022/02/08 CVE-2022-24664 NVD 9.9 CWE-94 Code Injection メタボックスによるリモートコード実行の脆弱性
2022/02/08 CVE-2022-24665 NVD 9.9 CWE-94 Code Injection gutenbergブロックによるリモートコード実行の脆弱性
【最新情報】

◆WordPress Vulnerability & Patch Roundup April 2024 (Sucuri Blog, 2024/04/29)
https://blog.sucuri.net/2024/04/wordpress-vulnerability-patch-ro
https://vul.hatenadiary.com/entry/2024/04/29/000000_1

◆2024年4月WordPressプラグイン脆弱性まとめ、確認と対応を (マイナビニュース, 2024/05/07 11:47)
https://news.mynavi.jp/techplus/article/20240507-2938400/
https://vul.hatenadiary.com/entry/2024/05/07/000000_1

記事

【ニュース】

■2017年

◆脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例 (マイナビニュース, 2017/03/12)
http://news.mynavi.jp/news/2017/03/12/066/
https://vul.hatenadiary.com/entry/2017/03/12/000000


■2019年

◆WordPressに脆弱性、アップデートを (マイナビニュース, 2019/03/15 14:30)
https://news.mynavi.jp/article/20190315-789506/
https://vul.hatenadiary.com/entry/2019/03/15/000000

◆WordPress向けプラグイン「Jetpack」に脆弱性 (Security NEXT, 2019/11/26)
http://www.security-next.com/110142
https://vul.hatenadiary.com/entry/2019/11/26/000000


■2020年

◆WordPressに乗っ取りの脆弱性、アップデートを (マイナビニュース, 2020/06/12 16:22)
https://news.mynavi.jp/article/20200612-1053964/
https://vul.hatenadiary.com/entry/2020/06/12/000000


■2021年

◆フォームカスタマイズ用WPプラグインに未修正の脆弱性 (Security NEXT, 2021/02/09)
https://www.security-next.com/123181
https://vul.hatenadiary.com/entry/2021/02/09/000000

◆人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意 (ITmedia, 2021/05/24 15:52)
https://www.itmedia.co.jp/enterprise/articles/2105/24/news106.html
https://vul.hatenadiary.com/entry/2021/05/24/000000_1

◆WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を (ITmedia, 2021/12/23 07:00)
https://www.itmedia.co.jp/enterprise/articles/2112/23/news033.html
https://vul.hatenadiary.com/entry/2021/12/23/000000

◆WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要 (マイナビニュース, 2021/12/23 10:15)
https://news.mynavi.jp/techplus/article/20211223-2236206/
https://vul.hatenadiary.com/entry/2021/12/23/000000_1


■2022年

◆WordPress人気プラグイン「PHP Everywhere」に緊急の脆弱性、すぐに更新を (マイナビニュース, 2022/02/12 17:43)
https://news.mynavi.jp/techplus/article/20220212-2270869/
https://vul.hatenadiary.com/entry/2022/02/12/000000

◆Vulnerability found in WordPress plugin with over 3 million installations (ZDNet, 2022/02/18)
[300万インストールを超えるWordPressプラグインに脆弱性が発見される]
https://www.zdnet.com/article/vulnerability-found-in-wordpress-plugin-with-over-3-million-installations/
https://vul.hatenadiary.com/entry/2022/02/18/000000_1

◆100万インストールのWordPressプラグイン「Ninja Forms」にCVSSv3スコア9.8の脆弱性 (ITmedia, 2022/06/18 07:00)
https://www.itmedia.co.jp/enterprise/articles/2206/17/news164.html
https://vul.hatenadiary.com/entry/2022/06/18/000000

◆WordPress.orgが強制セキュリティアップデートを発動 Ninja Formsの脆弱性に対処 (ITmedia, 2022/06/22 07:00)
https://www.itmedia.co.jp/enterprise/articles/2206/22/news048.html
https://vul.hatenadiary.com/entry/2022/06/22/000000_1


■2023年

◆WordPress Stripe payment plugin bug leaks customer order details (BleepingComputer, 2023/06/13 12:02)
[WordPressのStripe決済プラグインのバグで顧客の注文詳細が漏れる]
https://www.bleepingcomputer.com/news/security/wordpress-stripe-payment-plugin-bug-leaks-customer-order-details/
https://vul.hatenadiary.com/entry/2023/06/13/000000_2

◆WordPress AIOS plugin used by 1M sites logged plaintext passwords (BleepingComputer, 2023/07/14 11:55)
[WordPressのAIOSプラグインが1Mサイトで使用され、平文パスワードが記録される]
https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/
https://vul.hatenadiary.com/entry/2023/07/14/000000_5

◆Hackers exploiting critical WordPress WooCommerce Payments bug (BleepingComputer, 2023/07/17 17:08)
[WordPress WooCommerce Paymentsの重大なバグを悪用するハッカーたち]
https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-wordpress-woocommerce-payments-bug/
https://vul.hatenadiary.com/entry/2023/07/17/000000_2

◆WP Fastest Cache plugin bug exposes 600K WordPress sites to attacks (BleepingComputer, 2023/11/14 18:32)
[WP Fastest Cacheプラグインのバグにより、600KのWordPressサイトが攻撃にさらされる]
https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/
https://vul.hatenadiary.com/entry/2023/11/14/000000_3


■2024年

◆WordPress 用プラグイン easy-popup-show に CSRF の脆弱性 (NetSecurity, 2024/03/29 08:00)

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月25日、WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

https://scan.netsecurity.ne.jp/article/2024/03/29/50783.html
https://vul.hatenadiary.com/entry/2024/03/29/000000_2

◆WordPress 用プラグイン Survey Maker に複数の脆弱性 (NetSecurity, 2024/03/29 08:00)

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月27日、WordPress 用プラグイン Survey Maker における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した

https://scan.netsecurity.ne.jp/article/2024/03/29/50785.html
https://vul.hatenadiary.com/entry/2024/03/29/000000

◆WordPress Vulnerability & Patch Roundup April 2024 (Sucuri Blog, 2024/04/29)
https://blog.sucuri.net/2024/04/wordpress-vulnerability-patch-ro
https://vul.hatenadiary.com/entry/2024/04/29/000000_1

◆2024年4月WordPressプラグイン脆弱性まとめ、確認と対応を (マイナビニュース, 2024/05/07 11:47)
https://news.mynavi.jp/techplus/article/20240507-2938400/
https://vul.hatenadiary.com/entry/2024/05/07/000000_1

【ブログ】

■2019年

◆「WordPress」の脆弱性「CVE-2019-8942」と「CVE-2019-8943」について解説 (Trendmicro, 2019/03/01)
https://blog.trendmicro.co.jp/archives/20487
https://vul.hatenadiary.com/entry/2019/03/01/000000


■2020年

◆Critical zero-day vulnerability fixed in WordPress File Manager (700,000+ installations). (NinTechNet, 2020/09/01)
https://blog.nintechnet.com/critical-zero-day-vulnerability-fixed-in-wordpress-file-manager-700000-installations/
https://vul.hatenadiary.com/entry/2020/09/01/000000


■2021年

◆Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites (Sucuri Blog, 2021/12/21)
https://blog.sucuri.net/2021/12/critical-vulnerabilities-in-all-in-one-seo-plugin-affects-millions-of-wordpress-websites.html
https://vul.hatenadiary.com/entry/2021/12/21/000000

関連情報

【関連まとめ記事】

◆全体まとめ
https://vul.hatenadiary.com/entry/root


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022