2025/05/06 SecurityOnline — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン OttoKit に発見された深刻な脆弱性により、無数の Web サイトがセキュリティ侵害の危険にさらされている。この脆弱性 CVE-2025-27007 (CVSS 9.8) は、Denver Jackson により発見され、Patchstack ゼロデイ・バグ報奨金プログラムを通じて公開された。そして、公開から1時間も経たないうちに悪用が始まってしまったという。
Continue reading “WordPress OttoKit Plugin の脆弱性 CVE-2025-27007 が FIX:すでに悪用が始まっている”Tag: PatchStack
WordPress Fancy Product Designer の脆弱性 CVE-2024-51919/51818:20,000以上のサイトが未パッチ!
Unpatched Vulnerabilities in Fancy Product Designer Plugin Put 20,000+ Websites at Risk
2025/01/09 SecurityOnline — WordPress のプレミアム・プラグインである Fancy Product Designer に、深刻な脆弱性 CVE-2024-51919/CVE-2024-51818 が存在することが、Patchstack のセキュリティ研究者である Rafie Muhammad により発見された。このプラグインは Radykal が開発したものであり、WooCommerce での製品カスタマイズ用に設計され、ユーザーに対して自由なデザインとパーソナライズを提供している。この Fancy Product Designer に、深刻なセキュリティ上の欠陥が発見されたことで、20,000 以上の WordPress サイトがリスクにさらされている。
Continue reading “WordPress Fancy Product Designer の脆弱性 CVE-2024-51919/51818:20,000以上のサイトが未パッチ!”WordPress WPLMS Theme/VibeBP Plugin に複数の脆弱性:最大の CVSS 値は 10.0
Premium WPLMS WordPress plugins address seven critical flaws
2024/12/23 BleepingComputer — WordPress の WPLMS プレミアム・テーマと VibeBP プラグインに、10件以上の脆弱性が存在することが、Patchstack の研究者たちにより判明した。これらの脆弱性が悪用されると、リモート・コード実行/権限昇格/SQL インジェクションなどが生じる恐れがある。
Continue reading “WordPress WPLMS Theme/VibeBP Plugin に複数の脆弱性:最大の CVSS 値は 10.0”Woffice WordPress Theme の脆弱性 CVE-2024-43153/43234 が FIX:15k のサイトが危険な状態に
Over 15,000 Sites at Risk: Woffice WordPress Theme Vulnerabilities Could Lead to Full Site Takeovers
2024/12/13 SecurityOnline — プレミアムなイントラネット/エクストラネット・ソリューションとして人気の WordPress テーマである Woffice に、2つの重大な脆弱性が存在することが、Patchstack により発見された。Xtendify が開発した Woffice テーマは、チーム/プロジェクト管理機能を提供する、高度なビジネス・ワークフローのテーマとして人気を博しており、15,000以上の販売実績を誇る。しかし、新たに発見された脆弱性により、影響を受ける Web サイトに重大なセキュリティ・リスクが生じている。
Continue reading “Woffice WordPress Theme の脆弱性 CVE-2024-43153/43234 が FIX:15k のサイトが危険な状態に”WordPress LiteSpeed Cache の脆弱性 CVE-2024-50550 が FIX:ブルートフォースの可能性
2024/10/30 SecurityOnline — 600 万を超えるアクティブ・インストールを誇る人気の WordPress LiteSpeed Cache プラグインに、深刻なセキュリティ脆弱性が存在することを、Patchstack のセキュリティ研究者 Rafie Muhammad が明らかにした。高度なサーバ・レベルのキャッシュ機能と、WooCommerce/Yoast SEO などのプラグインとの互換性で知られる LiteSpeed Cache に、世界中の WordPress サイトを危険にさらす可能性のある深刻な欠陥が見つかったことになる。
Continue reading “WordPress LiteSpeed Cache の脆弱性 CVE-2024-50550 が FIX:ブルートフォースの可能性”WordPress TI WooCommerce Wishlist の脆弱性 CVE-2024-43917:パッチは未適用
CVE-2024-43917 (CVSS 9.3): Unpatched SQLi Flaw in TI WooCommerce Wishlist Threatens 100,000+ Sites
2024/09/27 SecurityOnline — 人気の WordPress プラグインである TI WooCommerce Wishlist に、深刻な脆弱性 CVE-2024-43917 (CVSS:9.8) が発見され、100,000 以上のサイトを危険にさらす可能性が生じている。この脆弱性の悪用に成功した攻撃者は、認証なしで任意の SQL クエリを実行できるようになり、影響を受ける Web サイトを完全な制御する権限を、不正に取得する可能性を手にする。
Continue reading “WordPress TI WooCommerce Wishlist の脆弱性 CVE-2024-43917:パッチは未適用”WordPress の Houzez テーマに深刻な脆弱性:大量のサイトが危殆化している
WordPress Theme ‘Houzez’ and Associated Plugin Vulnerabilities Expose Thousands of Sites
2024/09/23 SecurityOnline — 広く使用されている WordPress テーマの Houzez と、関連プラグイン Houzez Login Register に、2つの重大な脆弱性が発見された。46,000 件を超える販売実績を誇る Houzez は、コンテンツと物件リストを効率的に管理する不動産会社にとって人気の選択肢である。この、新たに特定された脆弱性の悪用に成功した権限のないユーザーが、Houzez テーマを用いる WordPress サイトを乗っ取る可能性が生じており、リスクの広がりが懸念されている。
Continue reading “WordPress の Houzez テーマに深刻な脆弱性:大量のサイトが危殆化している”WordPress Litespeed Cache の脆弱性 CVE-2024-44000 (CVSS 9.8) が FIX:ただちにアップデートを!
2024/09/05 SecurityOnline — 500 万以上のアクティブ・インストールを誇る、WordPress の人気プラグイン LiteSpeed Cache に重大なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した未認証の訪問者は、管理者権限を持つユーザーなどのログイン・アカウントへのアクセスを達成し、WordPress ユーザーに深刻な脅威をもたらす。Patchstack のセキュリティ研究者 Rafie Muhammad が発見した、この脆弱性 CVE-2024-44000 は、CVSS スコア 9.8 (Critical) と評価されている。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2024-44000 (CVSS 9.8) が FIX:ただちにアップデートを!”WordPress Litespeed Cache の脆弱性 CVE-2024-28000:積極的な攻撃が迫っている
Litespeed Cache bug exposes millions of WordPress sites to takeover attacks
2024/08/21 BleepingComputer — WordPress の LiteSpeed Cache プラグインで発見された深刻な脆弱性は、数百万の Web サイトに影響を及ぼすものであり、その悪用に成功した攻撃者に、不正な管理者アカウントの作成を許すため、乗っ取りへといたる懸念が生じている。オープンソースとして提供される LiteSpeed Cache は、最も人気の WordPress サイト高速化プラグインであり、500万以上のアクティブ・インストールを有し、WooCommerce/bbPress/ClassicPress/Yoast SEO をサポートしている。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2024-28000:積極的な攻撃が迫っている”WordPress WooCommerce Plugin に3つの脆弱性:公式パッチは未適用
Security Flaws Found in Popular WooCommerce Plugin
2024/06/07 InfoSecurity — WordPress のプラグイン WooCommerce Amazon Affiliates (WZone) に、3つの脆弱性が存在することが、Patchstack により明らかにされた。Amazon アフィリエイト・プログラム経由で、Web サイト運営者やブロガーの収益化を支援するように、WooCommerce Amazon Affiliates は設計されている。AA-Team により開発された、この WordPress プラグインは、35,000 以上の販売実績を有している。先日に発見された脆弱性は、バージョン 14.0.10 を含む、すべてのテスト済みバージョンに影響を与えるものであり、バージョン 14.0.20 以降にも影響を与える可能性があるという。
Continue reading “WordPress WooCommerce Plugin に3つの脆弱性:公式パッチは未適用”WordPress Litespeed Cache Plugin の脆弱性 CVE-2023-40000:積極的な悪用を観測
Litespeed Cache WordPress Plugin Actively Exploited In The Wild
2024/05/08 SecurityAffairs — WordPress 用 LiteSpeed Cache プラグインの深刻な脆弱性を、脅威アクターたちが積極的に悪用していると、WPScan の研究者たちが報告している。LiteSpeed Cache for WordPress (LSCWP) は、オールインワンのサイト高速化プラグインであり、独自のサーバ・レベル・キャッシュと最適化のための機能を備えている。そして、このプラグインは、500万以上のアクティブなインストール数を誇っている。
Continue reading “WordPress Litespeed Cache Plugin の脆弱性 CVE-2023-40000:積極的な悪用を観測”WordPress の LiteSpeed Cache Plugin の脆弱性 CVE-2023-40000 が FIX:深刻な蓄積型 XSS
WordPress Sites Under Widespread Attack – LiteSpeed Cache Plugin Exploit Puts Millions at Risk
2024/05/03 SecurityOnline — 現時点で世界中の 500万以上の Web サイトにインストールされている、WordPress のLiteSpeed Cache Plugin の脆弱性を、ハッカーたちが積極的に悪用している。この、脆弱性 CVE-2023-40000 を悪用する攻撃者は、管理者アカウントの作成を達成し、無数の WordPress サイトに深刻なセキュリティリスクをもたらしている。
Continue reading “WordPress の LiteSpeed Cache Plugin の脆弱性 CVE-2023-40000 が FIX:深刻な蓄積型 XSS”WordPress Automatic plugin の2つの脆弱性が FIX:40,000 以上のサイトが危険に晒されている
40,000+ Sites Exposed: WordPress Plugin Update Critical – CVE-2024-27956 & CVE-2024-27954
2024/03/19 SecurityOnline — 3月19日に Patchstack が公開したセキュリティ・アドバイザリによると、WordPress の Automatic プラグイン (プレミアム版) に、2つの危険な脆弱性 CVE-2024-27956/CVE-2024-27954 が発見されたとのことだ。WordPress サイトでのコンテンツ・インポートの自動化に用いられる同プラグインは、40,000 以上のアクティブなインストールがあるため、リスクは広範かつ差し迫ったものである。
Continue reading “WordPress Automatic plugin の2つの脆弱性が FIX:40,000 以上のサイトが危険に晒されている”WordPress Litespeed Cache の脆弱性 CVE-2023-40000 が FIX:数百万のサイトが危険な状態
XSS Flaw In Litespeed Cache Plugin Exposes Millions Of WordPress Sites At Risk
2024/02/27 SecurityAffairs — WordPress LiteSpeed Cache プラグインにおける、認証を必要としないサイト全体の蓄積型 XSS の脆弱性 CVE-2023-40000 により、サイト全体が影響を受けると、Patchstack の研究者たちが警告している。無料版の LiteSpeed Cache プラグインは、WordPress で人気のあるキャッシュ・プラグインであり、400万以上のアクティブ・インストールがある。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2023-40000 が FIX:数百万のサイトが危険な状態”WordPress 用の Bricks Builder の脆弱性 CVE-2024-25600 が FIX:すでに悪用が始まっている
CVE-2024-25600: WordPress’s Bricks Builder RCE Flaw Under Attack
2024/02/19 SecurityOnline — WordPress 用の Bricks Builder は、広く使用されている サイトビルダーであるが、そこに深刻なリモートコード実行 (RCE) 脆弱性 CVE-2024-25600 (CVSS:9.8) が発見された。この脆弱性は活発に悪用されており、影響を受ける Web サイトに、大きなリスクをもたらしている。
Continue reading “WordPress 用の Bricks Builder の脆弱性 CVE-2024-25600 が FIX:すでに悪用が始まっている”WordPress の Ninja Forms プラグイン:3件の深刻な脆弱性が FIX
WordPress Ninja Forms plugin flaw lets hackers steal submitted data
2023/07/27 BleepingComputer — WordPress で人気のフォーム作成プラグイン Ninja Forms には、攻撃者に特権への昇格を許し、ユーザー・データ窃取へといたる、3つの脆弱性が存在する。2023年6月22日に Patchstack の研究者たちは、この3つの脆弱性を発見し、プラグインの開発元である Saturday Drive に情報を公開した。そして、2023年7月4日に、Saturday Drive はバージョン 3.6.26 をリリースし、脆弱性を修正した。しかし、WordPress.org の統計によると、Ninja Forms の最新リリースをダウンロードしたのは、すべてのユーザーの約半数に過ぎず、約 40万件のサイトに攻撃の可能性が残されているという。
Continue reading “WordPress の Ninja Forms プラグイン:3件の深刻な脆弱性が FIX”WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX
WordPress Stripe payment plugin bug leaks customer order details
2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。
Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”WordPress の Elementor プラグインの脆弱性が FIX:100 万件の Web サイトに乗っ取りの危険性
WordPress Elementor plugin bug let attackers hijack accounts on 1M sites
2023/05/11 BleepingComputer — WordPress で人気を博している、Essential Addons for Elementor に存在する権限昇格の脆弱性の悪用に成功したリモートの未認証の攻撃者が、サイトの管理者権限を獲得する可能性があることが判明した。Essential Addons for Elementor は、100万以上の WordPress サイトで使用されているページ・ビルダー Elementor 用の、90種類のエクステンションを搭載したライブラリである。2023年5月8日に PatchStack が発見した、この脆弱性 CVE-2023-32243 はプラグインのパスワード・リセット機能における、未認証の攻撃者による権限昇格を可能にするものであり、バージョン 5.4.0〜5.7.1 に影響を及ぼす。
Continue reading “WordPress の Elementor プラグインの脆弱性が FIX:100 万件の Web サイトに乗っ取りの危険性”WordPress プラグイン Advanced Custom Fields:XSS 脆弱性 CVE-2023-30777 が FIX
WordPress custom field plugin bug exposes over 1M sites to XSS attacks
2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この2つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。
Continue reading “WordPress プラグイン Advanced Custom Fields:XSS 脆弱性 CVE-2023-30777 が FIX”WordPress プラグイン Elementor Pro に深刻な脆弱性:現時点で 1100万サイトにインストール
Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs
2023/03/31 BleepingComputer — 1100万以上の Web サイトで使用されている、人気の WordPress プラグイン Elementor Pro の深刻な脆弱性が、ハッカーたちに積極的に悪用されている。Elementor Pro が提供する機能には、ドラッグ&ドロップ/テーマ構築/テンプレート・コレクション/カスタム・ウィジェットのサポートに加えて、オンライン・ショップ用の WooCommerce ビルダーなどがある。そのため、ユーザーがコードを知らなくても、プロフェッショナルなサイトを簡単に構築できる、WordPress ページ・ビルダー・プラグインとして人気を博している。
Continue reading “WordPress プラグイン Elementor Pro に深刻な脆弱性:現時点で 1100万サイトにインストール”
IoT OT Security News 