WordPress (まとめ)

malware-log.hatenablog.com

【目次】

概要
記事
関連情報
- 【関連まとめ記事】

概要

【脆弱性の内容】

公開日	登録日	CVE番号	NVD	ベンダー情報	CVSS v3	CWE	脆弱性	備考
2021/12/14	2021/01/14	CVE-2021-25036	NVD	WPScan	8.8(NVD)	CWE-178 CWE-287	大文字と小文字の区別の不適切な処理不適切な認証	Jetpack
2021/12/14	2021/01/14	CVE-2021-25037	NVD	WPScan	6.5(NVD)	CWE-89	SQLインジェクション	Jetpack
2022/02/08	2022/02/07	CVE-2022-24663	NVD		8.8(NVD) 9.8(Wordfence)	CWE-94	コード・インジェクション	PHP Everywhere ショートコードによるリモートコード実行の脆弱性,
2022/02/08	2022/02/07	CVE-2022-24664	NVD		78(NVD) 9.9(Wordfence)	CWE-94	コード・インジェクション	PHP Everywhere メタボックスによるリモートコード実行の脆弱性
2022/02/08	2022/02/07	CVE-2022-24665	NVD		78(NVD) 9.9(Wordfence)	CWE-94	コード・インジェクション	PHP Everywhere gutenbergブロックによるリモートコード実行の脆弱性
2025/01/21	2024/04/12	CVE-2024-32444	NVD	Patchstack	9.8(Patchstack)	-	-	WordPress Real Homes plugin, WordPress Easy Real Estate plugin
2025/01/21	2024/04/15	CVE-2024-32555	NVD	ベンダー	9.8(Patchstack)	CWE-266	不適切な権限設定	WordPress Real Homes plugin, WordPress Easy Real Estate plugin

【CVE_DB】

◆CVE Details
https://www.cvedetails.com/vulnerability-list/vendor_id-15289/product_id-31215/Ninjaforms-Ninja-Forms.html

【最新情報】

◆WordPress Vulnerability & Patch Roundup April 2024 (Sucuri Blog, 2024/04/29)
https://blog.sucuri.net/2024/04/wordpress-vulnerability-patch-ro
⇒ https://vul.hatenadiary.com/entry/2024/04/29/000000_1

◆2024年4月WordPressプラグイン脆弱性まとめ、確認と対応を (マイナビニュース, 2024/05/07 11:47)
https://news.mynavi.jp/techplus/article/20240507-2938400/
⇒ https://vul.hatenadiary.com/entry/2024/05/07/000000_1

記事

【ニュース】

■2017年

◆脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例 (マイナビニュース, 2017/03/12)
http://news.mynavi.jp/news/2017/03/12/066/
⇒ https://vul.hatenadiary.com/entry/2017/03/12/000000

■2019年

◆WordPressに脆弱性、アップデートを (マイナビニュース, 2019/03/15 14:30)
https://news.mynavi.jp/article/20190315-789506/
⇒ https://vul.hatenadiary.com/entry/2019/03/15/000000

◆WordPress向けプラグイン「Jetpack」に脆弱性 (Security NEXT, 2019/11/26)
http://www.security-next.com/110142
⇒ https://vul.hatenadiary.com/entry/2019/11/26/000000

■2020年

◆WordPressに乗っ取りの脆弱性、アップデートを (マイナビニュース, 2020/06/12 16:22)
https://news.mynavi.jp/article/20200612-1053964/
⇒ https://vul.hatenadiary.com/entry/2020/06/12/000000

■2021年

◆フォームカスタマイズ用WPプラグインに未修正の脆弱性 (Security NEXT, 2021/02/09)
https://www.security-next.com/123181
⇒ https://vul.hatenadiary.com/entry/2021/02/09/000000

◆人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意 (ITmedia, 2021/05/24 15:52)
https://www.itmedia.co.jp/enterprise/articles/2105/24/news106.html
⇒ https://vul.hatenadiary.com/entry/2021/05/24/000000_1

◆WordPressのSEO対策プラグインに「緊急」の脆弱性　早急な対処を (ITmedia, 2021/12/23 07:00)
https://www.itmedia.co.jp/enterprise/articles/2112/23/news033.html
⇒ https://vul.hatenadiary.com/entry/2021/12/23/000000

◆WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要 (マイナビニュース, 2021/12/23 10:15)
https://news.mynavi.jp/techplus/article/20211223-2236206/
⇒ https://vul.hatenadiary.com/entry/2021/12/23/000000_1

■2022年

◆WordPress人気プラグイン「PHP Everywhere」に緊急の脆弱性、すぐに更新を (マイナビニュース, 2022/02/12 17:43)
https://news.mynavi.jp/techplus/article/20220212-2270869/
⇒ https://vul.hatenadiary.com/entry/2022/02/12/000000

◆Vulnerability found in WordPress plugin with over 3 million installations (ZDNet, 2022/02/18)
[300万インストールを超えるWordPressプラグインに脆弱性が発見される]
https://www.zdnet.com/article/vulnerability-found-in-wordpress-plugin-with-over-3-million-installations/
⇒ https://vul.hatenadiary.com/entry/2022/02/18/000000_1

◆100万インストールのWordPressプラグイン「Ninja Forms」にCVSSv3スコア9.8の脆弱性 (ITmedia, 2022/06/18 07:00)
https://www.itmedia.co.jp/enterprise/articles/2206/17/news164.html
⇒ https://vul.hatenadiary.com/entry/2022/06/18/000000

◆WordPress.orgが強制セキュリティアップデートを発動　Ninja Formsの脆弱性に対処 (ITmedia, 2022/06/22 07:00)
https://www.itmedia.co.jp/enterprise/articles/2206/22/news048.html
⇒ https://vul.hatenadiary.com/entry/2022/06/22/000000_1

■2023年

◆WordPress Stripe payment plugin bug leaks customer order details (BleepingComputer, 2023/06/13 12:02)
[WordPressのStripe決済プラグインのバグで顧客の注文詳細が漏れる]
https://www.bleepingcomputer.com/news/security/wordpress-stripe-payment-plugin-bug-leaks-customer-order-details/
⇒ https://vul.hatenadiary.com/entry/2023/06/13/000000_2

◆WordPress AIOS plugin used by 1M sites logged plaintext passwords (BleepingComputer, 2023/07/14 11:55)
[WordPressのAIOSプラグインが1Mサイトで使用され、平文パスワードが記録される]
https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/
⇒ https://vul.hatenadiary.com/entry/2023/07/14/000000_5

◆Hackers exploiting critical WordPress WooCommerce Payments bug (BleepingComputer, 2023/07/17 17:08)
[WordPress WooCommerce Paymentsの重大なバグを悪用するハッカーたち]
https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-wordpress-woocommerce-payments-bug/
⇒ https://vul.hatenadiary.com/entry/2023/07/17/000000_2

◆WP Fastest Cache plugin bug exposes 600K WordPress sites to attacks (BleepingComputer, 2023/11/14 18:32)
[WP Fastest Cacheプラグインのバグにより、600KのWordPressサイトが攻撃にさらされる]
https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/
⇒ https://vul.hatenadiary.com/entry/2023/11/14/000000_3

■2024年

◆WordPress 用プラグイン easy-popup-show に CSRF の脆弱性 (NetSecurity, 2024/03/29 08:00)

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月25日、WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

https://scan.netsecurity.ne.jp/article/2024/03/29/50783.html
⇒ https://vul.hatenadiary.com/entry/2024/03/29/000000_2

◆WordPress 用プラグイン Survey Maker に複数の脆弱性 (NetSecurity, 2024/03/29 08:00)

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月27日、WordPress 用プラグイン Survey Maker における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した

https://scan.netsecurity.ne.jp/article/2024/03/29/50785.html
⇒ https://vul.hatenadiary.com/entry/2024/03/29/000000

◆WordPress Vulnerability & Patch Roundup April 2024 (Sucuri Blog, 2024/04/29)
https://blog.sucuri.net/2024/04/wordpress-vulnerability-patch-ro
⇒ https://vul.hatenadiary.com/entry/2024/04/29/000000_1

◆2024年4月WordPressプラグイン脆弱性まとめ、確認と対応を (マイナビニュース, 2024/05/07 11:47)
https://news.mynavi.jp/techplus/article/20240507-2938400/
⇒ https://vul.hatenadiary.com/entry/2024/05/07/000000_1

◆WordPressの人気プラグイン「LiteSpeed Cache」がサイバー攻撃の標的、確認を (マイナビニュース, 2024/05/10 08:34)
https://news.mynavi.jp/techplus/article/20240510-2942402/
⇒ https://vul.hatenadiary.com/entry/2024/05/10/000000_1

◆7月のWordPressプラグイン脆弱性まとめ、確認と対応を (マイナビニュース, 2024/08/05 08:28)
https://news.mynavi.jp/techplus/article/20240805-2995801/
⇒ https://vul.hatenadiary.com/entry/2024/08/05/000000_1

◆ヌル化されたWordPressプラグイン、非ライセンスコピー製品のリスク (マイナビニュース, 2024/08/22 10:39)
https://news.mynavi.jp/techplus/article/20240822-3007794/
⇒ https://vul.hatenadiary.com/entry/2024/08/22/000000_1

◆LiteSpeed Cacheプラグインに緊急の脆弱性、500万超のWebサイトに影響 (マイナビニュース, 2024/08/24 17:31)
https://news.mynavi.jp/techplus/article/20240824-3010149/
⇒ https://vul.hatenadiary.com/entry/2024/08/24/000000

◆LiteSpeed Cache WordPress plugin bug lets hackers get admin access (BleepingComputer, 2024/10/31 12:19)
[LiteSpeed Cache WordPress プラグインのバグにより、ハッカーが管理者アクセスを取得]
https://www.bleepingcomputer.com/news/security/litespeed-cache-wordpress-plugin-bug-lets-hackers-get-admin-access/
⇒ https://vul.hatenadiary.com/entry/2024/10/31/000000_1

■2025年

◇2025年1月

◆WordPressの人気テーマ「RealHomes」に緊急の脆弱性、すぐに使用中止を (マイナビニュース, 2025/01/24 10:37)
https://news.mynavi.jp/techplus/article/20250124-3113740/
⇒ https://vul.hatenadiary.com/entry/2025/01/24/000000

◇2025年3月

◆WordPressの人気プラグインに緊急の脆弱性、アップデートを (マイナビニュース, 2025/03/10 16:41)
https://news.mynavi.jp/techplus/article/20250310-3144765/
⇒ https://vul.hatenadiary.com/entry/2025/03/10/000000_1

◆WordPressのチャットプラグインに緊急脆弱性、サイトを乗っ取られる恐れ (マイナビニュース, 2025/03/11 08:46)
https://news.mynavi.jp/techplus/article/20250311-3144840/
⇒ https://vul.hatenadiary.com/entry/2025/03/11/000000_1

◆日本の企業などWordPressサイトの約15%がユーザーIDの閲覧可能に"/?author=1"でチェックを (マイナビニュース, 2025/03/18 13:58)
https://news.mynavi.jp/techplus/article/20250318-3156632/
⇒ https://vul.hatenadiary.com/entry/2025/03/18/000000_1

◆WordPressのセキュリティプラグインに緊急の脆弱性、アップデートを (マイナビニュース, 2025/03/25 13:50)
https://news.mynavi.jp/techplus/article/20250325-3159864/
⇒ https://vul.hatenadiary.com/entry/2025/03/25/000000

◇2025年4月

◆2025年3月6日～26日に報告されたWordPress関連の脆弱性情報 (マイナビニュース, 2025/04/06 11:35)
https://news.mynavi.jp/techplus/article/wordpressvulnerability-1/
⇒ https://vul.hatenadiary.com/entry/2025/04/06/000000

【ブログ】

■2019年

◆「WordPress」の脆弱性「CVE-2019-8942」と「CVE-2019-8943」について解説 (Trendmicro, 2019/03/01)
https://blog.trendmicro.co.jp/archives/20487
⇒ https://vul.hatenadiary.com/entry/2019/03/01/000000

■2020年

◆Critical zero-day vulnerability fixed in WordPress File Manager (700,000+ installations). (NinTechNet, 2020/09/01)
https://blog.nintechnet.com/critical-zero-day-vulnerability-fixed-in-wordpress-file-manager-700000-installations/
⇒ https://vul.hatenadiary.com/entry/2020/09/01/000000

■2021年

◆Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites (Sucuri Blog, 2021/12/21)
https://blog.sucuri.net/2021/12/critical-vulnerabilities-in-all-in-one-seo-plugin-affects-millions-of-wordpress-websites.html
⇒ https://vul.hatenadiary.com/entry/2021/12/21/000000

【公開情報】

■2019年

◆WordPress Releases Security Update (CISA, 2019/03/14)
https://www.us-cert.gov/ncas/current-activity/2019/03/14/WordPress-Releases-Security-Update
⇒ https://vul.hatenadiary.com/entry/2019/03/14/000000_2

TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

概要

【脆弱性の内容】

【CVE_DB】

【最新情報】

記事

【ニュース】

【ブログ】

【公開情報】

【検索】

関連情報

【関連まとめ記事】