Vulnerability in OttoKit WordPress Plugin Exploited in the Wild
2025/04/11 SecurityWeek — WordPress プラグインである OttoKit の脆弱性を、脅威アクターたちが積極的に悪用しており、多くの Web サイトに深刻な侵害の可能性があると、WordPress セキュリティ企業の Wordfence が警告している。以前には SureTriggers という名称だった OttoKit:All-in-One Automation Platform は、Web サイト管理者によるタスクの自動化と、アプリケーション/Web サイト/WordPress プラグインの連携を担うプラグインである。
Continue reading “WordPress OttoKit の脆弱性 CVE-2025-3102:パッチのリリースと積極的な悪用の検出”Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed
2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。
Continue reading “WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供”CVE-2024-12562: Critical s2Member Pro Flaw Leaves Millions of WordPress Sites Vulnerable
2025/02/17 SecurityOnline — WordPress の人気プラグイン s2Member Pro に、深刻なセキュリティ脆弱性が発見され、数百万の Web サイトに影響が及ぶ可能性があるという。この脆弱性 CVE-2024-12562 (CVSS:9.8) の悪用に成功した未認証の攻撃者には、脆弱なサイトへの悪意の PHP オブジェクト・インジェクションが許される可能性が生じる。
Continue reading “WordPress s2Member Pro の脆弱性 CVE-2024-12562 が FIX:PHP オブジェクト挿入の可能性”2025/01/21 SecurityOnline — 世界中で 8,743以上の販売実績を誇る、WordPress のプレミアム広告テーマ AdForest に、深刻な脆弱性 CVE-2024-12857 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、認証メカニズムを完全バイパスする可能性を手にする。
Continue reading “WordPress AdForest Theme の脆弱性 CVE-2024-12857 が FIX:認証バイパスの可能性”CVE-2024-10571 (CVSS 9.8): Critical Flaw in WordPress Chart Plugin Under Active Attack
2024/11/14 SecurityOnline — WordPress Chart Plugin に存在する脆弱性 CVE-2024-10571 (CVSS 9.8) が、攻撃者により積極的に悪用されていることが判明した。この 2,000 件以上のアクティブなインストール数を誇るプラグインは、認証されていないローカル・ファイル・インクルードに対して脆弱であり、影響を受ける Web サイト上での悪意のコード実行を、攻撃者に許す可能性が生じる。
Continue reading “WordPress Chart Plugin の脆弱性 CVE-2024-10571 (CVSS 9.8):活発な攻撃を観測”CVE-2024-10470 (CVSS 9.8) in Popular WordPress Theme Exposes Thousands of Sites
2024/11/08: SecurityOnline — オンライン・コース管理で広く使用される WordPress のプレミアム・テーマ WPLMS に、任意のファイル読取/削除を許してしまう深刻な脆弱性が発見された。Wordfence のセキュリティ研究者である Istvan Marton によると、この脆弱性 CVE-2024-10470 (CVSS:9.8) は、認証されていない攻撃者に対して機密ファイルの読取/削除を許すものであるが、その中には 重要な wp-config.php ファイルも含まれるという。
Continue reading “WordPress テーマ WPLMS の脆弱性 CVE-2024-10470 (CVSS 9.8) が FIX:直ちにアップデートを!”Litespeed Cache bug exposes millions of WordPress sites to takeover attacks
2024/08/21 BleepingComputer — WordPress の LiteSpeed Cache プラグインで発見された深刻な脆弱性は、数百万の Web サイトに影響を及ぼすものであり、その悪用に成功した攻撃者に、不正な管理者アカウントの作成を許すため、乗っ取りへといたる懸念が生じている。オープンソースとして提供される LiteSpeed Cache は、最も人気の WordPress サイト高速化プラグインであり、500万以上のアクティブ・インストールを有し、WooCommerce/bbPress/ClassicPress/Yoast SEO をサポートしている。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2024-28000:積極的な攻撃が迫っている”Critical Flaw in Donation Plugin Exposed 100,000 WordPress Sites to Takeover
2024/08/20 SecurityWeek — WordPress の GiveWP plugin に存在する、致命的な脆弱性 CVE-2024-5932 (CVSS:10.0) により、10万以上の Web サイトがリモート・コード実行と任意のファイル削除攻撃にさらされていると、WordPress のセキュリティ会社 Defiant が警告している。この脆弱性は、give_title パラメータからの信頼できない入力のデシリアライズを介した、PHP オブジェクト・インジェクションとして説明されている。
Continue reading “WordPress GiveWP の脆弱性 CVE-2024-5932 (CVSS 10.0) が FIX:10万以上のサイトが危険な状態に!”10,000+ WordPress Sites at Risk: Critical File Deletion Flaw Found in InPost Plugins
2024/08/17 SecurityOnline — 人気の WordPress プラグインである InPost PL/InPost for WooCommerce プラグインに、致命的な脆弱性 CVE-2024-6500 (CVSS:10) が発見された。この欠陥は、任意のファイルの Read/Delete の脆弱性と説明されており、悪用に成功した攻撃者は、重要な “wp-config.php” コンフィグ・設ファイルなどの読込/削除が可能になる。
Continue reading “WordPress InPost PL Plugin の脆弱性 CVE-2024-6500 (CVSS 10) が FIX:直ちにパッチ適用を!”Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack
2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。
Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”Critical Security Flaw Found in Popular LayerSlider WordPress Plugin
2024/04/03 TheHackerNews — WordPress の LayerSlider plugin に、致命的なセキュリティ脆弱性 CVE-2024-2879 (CVSS:9.8) が発見された。この脆弱性は SQL インジェクションと分類されており、7.9.11〜7.10.0 までのバージョンに影響を与える。この脆弱性の悪用に成功した攻撃者は、データベースからパスワード・ハッシュなどの機密情報を抜き取る可能性がある。
Continue reading “WordPress LayerSlider Plugin の脆弱性 CVE-2024-2879 が FIX:CVSS 値は 9.8”WordPress Plugin Flaw Exposes 200,000+ Websites To XSS Attacks
2024/03/12 GBHackers — WordPress の Ultimate Member Plugin に、XSS (Cross-Site Scripting) 脆弱性 CVE-2024-2123 が発見された。現時点において、200,000 以上の Web サイトが、この脆弱性の脅威に晒されていることが分かった。stealthcopter という研究者により発見された、この脆弱性が浮き彫りにするのは、デジタル・エコシステムにおけるリスクであり、また、Wordfence のような Web を保護するサイバー・セキュリティ企業の重要な役割である。
Continue reading “WordPress Ultimate Member Plugin の脆弱性が FIX:200,000 以上のサイトが攻撃に晒される”CVE-2024-2194: WP Statistics Flaw Opens 600K+ WordPress Sites to Attack
2024/03/11 SecurityOnline — WordPress セキュリティの権威 Wordfence が警告するのは、広く使用されている WP Statistics プラグインに存在する深刻な脆弱性についてである。この脆弱性 CVE-2024-2194 の悪用に成功した攻撃者は、WordPress Web サイトに悪意のコードをダイレクトに注入することが可能となり、機密データやサイト機能が危険にさらされるという。
Continue reading “WordPress Statistics Plugin の脆弱性 CVE-2024-2194 が FIX:60万のサイトが危険な状態”Urgent Security Alert: Avada WordPress Theme Vulnerability (CVE-2024-1468)
2024/02/29 SecurityOnline — 約 950,000 件の販売実績を持つ人気の WordPress テーマである Avada に、深刻度の高いセキュリティ脆弱性 CVE-2024-1468 (CVSS:8.8) が発見された。この脆弱性が悪用されると、投稿者レベル以上の権限を持つ認証済みの攻撃者が、影響を受ける Web サイト上で任意のファイルをアップロードし、悪意のコードを実行する可能性が生じる。
Continue reading “WordPress テーマ Avada の脆弱性 CVE-2024-1468 が FIX:RCE 攻撃が生じる恐れ”2024/02/25 SecurityOnline — 200,000 以上のアクティブなインストールを誇る、人気の WordPress プラグイン Ultimate Member に、認証を必要としない SQL インジェクションの脆弱性が見つかった。この深刻な脆弱性 CVE-2024-1071 (CVSS:9.8) には、広く採用されている同プラグインを利用している Web サイトに、重大なリスクをもたらす可能性がある。この脆弱性を発見/報告した Christiaan Swiers には、Wordfence Bug Bounty Program Extravaganza から $2,063 の報奨金が支払われた。
Continue reading “WordPress Ultimate Member Plugin の脆弱性 CVE-2024-1071 が FIX:直ちにアップデートを!”CVE-2024-25600: WordPress’s Bricks Builder RCE Flaw Under Attack
2024/02/19 SecurityOnline — WordPress 用の Bricks Builder は、広く使用されている サイトビルダーであるが、そこに深刻なリモートコード実行 (RCE) 脆弱性 CVE-2024-25600 (CVSS:9.8) が発見された。この脆弱性は活発に悪用されており、影響を受ける Web サイトに、大きなリスクをもたらしている。
Continue reading “WordPress 用の Bricks Builder の脆弱性 CVE-2024-25600 が FIX:すでに悪用が始まっている”CVE-2023-6989: Shield Security Plugin Hit by Severe LFI Vulnerability, 50,000+ Sites Affect
2024/02/05 SecurityOnline — 50,000 以上のアクティブなインストールを誇る WordPress プラグイン Shield Security に、深刻な脆弱性が発見された。この脆弱性は、Wordfence バグ・バウンティ・プログラムを介して、研究者である hir0ot により発見された。
Continue reading “WordPress Shield Security プラグインの脆弱性 CVE-2023-6989:5万件以上のサイトに LFI の危機”CVE-2024-1072: Critical Flaw in SeedProd Plugin Exposes 900K WordPress Sites
2024/02/01 SecurityOnline — WordPress の人気プラグイン Website Builder by SeedProd に、深刻な脆弱性が判明したが、そのインストール数は 90 万を超えるという。Website Builder by SeedProd は、Web サイトの作成とカスタマイズのプロセスを簡素化するために設計された、強力で使いやすい WordPress プラグインだ。SeedProd は、ドラッグ・アンド・ドロップ機能を提供しており、コードを記述することなく簡単にカスタム Web サイトを設計/構築できるため、WordPress ユーザーの間で高い人気を誇っている。
Continue reading “WordPress の SeedProd Plugin に脆弱性 CVE-2024-1072:90万サイトで利用”50K WordPress sites exposed to RCE attacks by critical bug in backup plugin
2023/12/11 BleepingComputer — WordPress に 90,000以上もインストールされているプラグインで、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモート・コードを実行し、脆弱な Web サイトを完全に侵害する可能性があるという。この、Backup Migration というプラグインは、ローカル・ストレージまたは Google Drive アカウントへ向けた、管理者によるサイト・バックアップを自動化するものだ。脆弱性 CVE-2023-6553 (CVSS:9.8) は、Nex チームとして知られるバグハンターのチームにより発見され、バグバウンティ・プログラムの下で Wordfence に報告された。
Continue reading “WordPress の Backup Migration プラグインに脆弱性:5万件のサイトに RCE の危機”WordPress Phishing Scam Exploits Fake CVE-2023-45124 Vulnerability
2023/12/02 SecurityOnline — 日進月歩のサイバー・セキュリティの世界では、新たな警戒心が必要不可欠だ。最近では、CVE-2023-45124 というセキュリティ欠陥をでっち上げ、無防備な WordPress ユーザーを標的にするという、狡猾なフィッシング詐欺が出現している。この巧妙な策略は、Wordfence Threat Intelligence Team により発見された。
Continue reading “WordPress のフェイク脆弱性 CVE-2023-45124:フィッシング詐欺で悪用”WooCommerce Bug Exploited in Targeted WordPress Attacks
2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS:9.8) を悪用するものだ。
Continue reading “WooCommerce の深刻な脆弱性 CVE-2023-28121:侵害の試みが 100万回以上も記録される”Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs
2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。
Continue reading “WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨”Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts
2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS:9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。
Continue reading “WordPress の Social Login Plugin に深刻な脆弱性:30,000 以上のサイトでパッチが必要!”Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites
2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。
Continue reading “WooCommerce 決済プラグインの深刻な脆弱性:WordPress サイト 50万以上に影響を及ぼす?”Hackers Started Exploiting Critical “Text4Shell” Apache Commons Text Vulnerability
2022/10/21 TheHackerNews — 2022年10月18日に公開された Apache Commons Text の脆弱性だが、その悪用が検出され始めたと、WordPress のセキュリティ企業である Wordfenceが 10月20日に発表した。脆弱性 CVE-2022-42889 (CVSS:9.8) は、別名 Text4Shell として追跡され、この ライブラリのバージョン 1.5〜1.9 に影響を及ぼす。
Continue reading “Apache Commons Text の脆弱性:Text4Shell CVE-2022-42889 の悪用が始まる”Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability
2022/09/14 TheHackerNews — WordPress プレミアム・プラグイン WPGateway の最新バージョンに存在する、ゼロデイ脆弱性が活発に悪用されており、攻撃に成功した脅威アクターによるサイトの完全な乗っ取りの可能性が生じている。この脆弱性 CVE-2022-3180 (CVSS : 9.8) は、WPGateway プラグインを実行しているサイトに対して、攻撃者を管理者ユーザーとして追加する武器として使われていると、WordPress セキュリティ企業である Wordfence は指摘している。
Continue reading “WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性”WordPress 6.0.2 Patches Vulnerability That Could Impact Millions of Legacy Sites
2022/08/31 SecurityWeek — 今週に WordPress チームは、深刻度の高い SQL インジェクションの欠陥などの、3つのセキュリティ脆弱性に対するパッチを含む、WordPress 6.0.2 をリリースした。1つ目の脆弱性は、以前はブックマークと呼ばれていた、WordPress のリンク機能に存在するものだ。このリンク機能は、新規のインストールではデフォルトで無効になっているため、古いインストールにのみに影響を及ぼす。
Continue reading “WordPress 6.0.2 で FIX した脆弱性:数百万の既存サイトに影響をおよぼす可能性”Attackers scan 1.6 million WordPress sites for vulnerable plugin
2022/07/15 BleepingComputer — セキュリティ研究者たちは、160万近い WordPress サイトをスキャンし、認証なしでファイルをアップロードする脆弱なプラグインの存在を探し出そうとする、大規模なキャンペーンを検出した。この攻撃者は、Kaswara Modern WPBakery Page Builderをターゲットにしているが、真の狙いは深刻な脆弱性 CVE-2021-24284 に対するパッチを受ける前に、作者により放棄されたサイトへの攻撃にある。
Continue reading “WordPress Plugin の脆弱性:160万のサイトをスキャンするキャンペーンが見つかった”730K WordPress sites force-updated to patch critical plugin bug
2022/06/16 BleepingComputer — WordPress サイトで使用されている Ninja Forms で脆弱性が発見され、新しいビルドへの強制アップデートが、今週に入ってから一斉に行われた。この Ninja Forms とは、100万以上のインストール数を誇るフォーム・ビルダープ・ラグインであり、野放し状態で悪用される可能性のある、深刻なセキュリティ欠陥への対処が進められている。この脆弱性は、Ninja Forms Ver 3.0 以降に存在し、複数のリリースに影響するコードインジェクションに起因するものである。
Continue reading “WordPress の Ninja Forms プラグインに深刻な脆弱性:73万のサイトに強制アップデートが適用”Hundreds of GoDaddy-hosted sites backdoored in a single day
2022/03/16 BleepingComputer — インターネット・セキュリティ・アナリストたちは、GoDaddy の Managed WordPress サービスでホストされている、WordPress Web サイトへのバックドア感染が急増していることを発見し、すべてのバックドア・ペイロードが同一であることを明らかにした。このインシデントは、MediaTemple/tsoHost/123Reg/Domain Factory/Heart Internet/Host Europe Managed WordPress などの、インターネット・サービス・リセラーに影響を及ぼしている。
Continue reading “GoDaddy がホストする WordPress にバックドア:たった1日で 300件の感染”Ukrainian sites saw a 10x increase in attacks when invasion started
2022/03/02 BleepingComputer — ロシアがウクライナ侵攻を開始して以来、ウクライナの WordPress サイトに対する大量の攻撃が発生し、Web サイトのダウンにより市民の士気が低下している。ウクライナの大学/政府/軍/法執行機関に属する 8,320 の WordPress サイトを保護する Wordfence は、2月25日だけで 144,000回の攻撃を記録したと報告している。
Continue reading “ウクライナの WordPress 防衛:Wordfence がリアルタイムの脅威インテリジェンスを提供”High-Severity Vulnerability in 3 WordPress Plugins Affected 84,000 Websites
2022/01/16 TheHackerNews — 研究者たちが、84,000以上の Web サイトに影響を与える、3種類の WordPress プラグインのセキュリティ欠陥を公開した。これらの欠陥を悪用する脅威アクターにより、脆弱な WordPress サイトが乗っ取られる可能性もある。WordPress 傘下のセキュリティ企業である Wordfence は、先週に発表したレポートの中で、「この欠陥により、サイトの管理者が騙され、リンクをクリックするなどのアクションが実行されると、攻撃者は脆弱なサイトで任意のサイト・オプションを更新できる」と述べている。
Continue reading “WordPress プラグインの深刻な脆弱性 CVE-2022-0215:Web サイト 84,000 件に影響”
IoT OT Security News 