CVE-2024-12209 (CVSS 9.8): WP Umbrella Plugin Vulnerability Exposes 30,000 Websites to Compromise
2024/12/07 SecurityOnline — WordPress WP Umbrella Plugin は、30,000 件以上の Web サイトで使用されている人気のプラグインであるが、深刻なセキュリティ脆弱性 CVE-2024-12209 (CVSS:9.8) が存在していることが判明した。このプラグインのコードの、ローカル・ファイル・インクルージョン (LFI) 脆弱性を発見したのは、セキュリティ研究者 Arkadiusz Hydzik である。この脆弱性は、WP Umbrella のバージョン 2.17.0 以下に影響を及ぼすことが確認されている。
Continue reading “WordPress WP Umbrella Plugin の脆弱性 CVE-2024-12209 が FIX:3万件のサイトが危険な状態に!”2024/12/05 SecurityOnline — WordPress の Sweet Date テーマで、深刻な脆弱性 CVE-2024-43222 が発見された。このテーマは、人気のプレミアム・テーマであり、販売数は 10,000 近くに達するという。この脆弱性の CVSS スコアは 9.8 であり、重大度が極めて高いため、悪用により深刻な影響が生じる恐れがある。
Continue reading “WordPress Sweet Date Theme の脆弱性 CVE-2024-43222 が FIX : ただちにパッチを!”CVE-2024-8672 (CVSS 9.9): Critical Flaw in Widget Options Plugin Threatens 100,000+ Websites
2024/11/30 SecurityOnline — 100,000 以上のアクティブなインストール数を誇る WordPress Widget Options plugin に、深刻な脆弱性 CVE-2024-8672 (CVSSv3:9.9) が発見されたが、最新バージョン (4.0.8) で修正された。この脆弱性により、 Widget Options plugin を利用する Web サイトに、深刻な脅威の可能性が生じている。この脆弱性の悪用に成功した、コントリビューター以上のアクセス権限を持つ攻撃者は、標的サーバ上で任意のコード実行の可能性を得る。
Continue reading “WordPress Widget Options Plugin の脆弱性 CVE-2024-8672 が FIX:CVSS 値は 9.9”2024/11/23 SecurityOnline — WordPress の FluentSMTP Plugin に、深刻な脆弱性が CVE-2024-9511 (CVSS v3.1:9.8) 発見された。この脆弱性を悪用する未認証の攻撃者は、脆弱性のある Web サイト上での、任意のコード実行の可能性を得る。
Continue reading “WordPress – FluentSMTP の脆弱性 CVE-2024-9511 が FIX:30万以上のサイトに乗っ取りの可能性”Urgent: Critical WordPress Plugin Vulnerability Exposes Over 4 Million Sites
2024/11/18 TheHackerNews — WordPress の Really Simple Security (旧 Really Simple SSL) プラグインに、深刻な認証バイパスの脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なサイトでの完全な管理者権限を、リモートから取得する可能性を得る。今回の脆弱性 CVE-2024-10924 (CVSS:9.8) は、400 万を超える WordPress サイトにインストールされている、このプラグインの無料版とプレミアム版に影響を及ぼす。
Continue reading “WordPress の Really Simple Security の脆弱性 CVE-2024-10924 が FIX:400 万を超えるサイトに影響”CVE-2024-8856: WP Time Capsule Plugin Vulnerability Exposes 20,000+ Sites to TakeOver
2024/11/16 SecurityOnline — WordPress バックアップ・プラグインである、WP Time Capsule の深刻度の高い脆弱性により、20,000 を超える Web サイトにおいて、完全な乗っ取りの可能性が生じている。セキュリティ研究者 Rein Daelman により発見された、この脆弱性 CVE-2024-8856 を悪用する未認証の攻撃者により、Web サイトのサーバへの任意のファイルのアップロードが可能になるという。つまり、攻撃者による、バックドアやマルウェアの挿入や、サイトの完全な乗っ取りも可能になる。
Continue reading “WP Time Capsule の脆弱性 CVE-2024-8856 が FIX:20,000+ のサイトに乗っ取りの可能性”CVE-2024-10571 (CVSS 9.8): Critical Flaw in WordPress Chart Plugin Under Active Attack
2024/11/14 SecurityOnline — WordPress Chart Plugin に存在する脆弱性 CVE-2024-10571 (CVSS 9.8) が、攻撃者により積極的に悪用されていることが判明した。この 2,000 件以上のアクティブなインストール数を誇るプラグインは、認証されていないローカル・ファイル・インクルードに対して脆弱であり、影響を受ける Web サイト上での悪意のコード実行を、攻撃者に許す可能性が生じる。
Continue reading “WordPress Chart Plugin の脆弱性 CVE-2024-10571 (CVSS 9.8):活発な攻撃を観測”CVE-2024-10470 (CVSS 9.8) in Popular WordPress Theme Exposes Thousands of Sites
2024/11/08: SecurityOnline — オンライン・コース管理で広く使用される WordPress のプレミアム・テーマ WPLMS に、任意のファイル読取/削除を許してしまう深刻な脆弱性が発見された。Wordfence のセキュリティ研究者である Istvan Marton によると、この脆弱性 CVE-2024-10470 (CVSS:9.8) は、認証されていない攻撃者に対して機密ファイルの読取/削除を許すものであるが、その中には 重要な wp-config.php ファイルも含まれるという。
Continue reading “WordPress テーマ WPLMS の脆弱性 CVE-2024-10470 (CVSS 9.8) が FIX:直ちにアップデートを!”2024/10/30 SecurityOnline — 600 万を超えるアクティブ・インストールを誇る人気の WordPress LiteSpeed Cache プラグインに、深刻なセキュリティ脆弱性が存在することを、Patchstack のセキュリティ研究者 Rafie Muhammad が明らかにした。高度なサーバ・レベルのキャッシュ機能と、WooCommerce/Yoast SEO などのプラグインとの互換性で知られる LiteSpeed Cache に、世界中の WordPress サイトを危険にさらす可能性のある深刻な欠陥が見つかったことになる。
Continue reading “WordPress LiteSpeed Cache の脆弱性 CVE-2024-50550 が FIX:ブルートフォースの可能性”CVE-2024-9488 (CVSS 9.8): Authentication Bypass Flaw in wpDiscuz Plugin, Over 80,000 Sites at Risk
2024/10/26 SecurityOnline — 80,000以上のアクティブなインストール数を持つ、人気の WordPress wpDiscuz plugin に、深刻な認証バイパスの脆弱性 CVE-2024-9488 (CVSS:9.8) が発見された。この脆弱性は、認証されていない攻撃者に、ユーザー・アカウントの乗っ取りを許すものであり、その対象には管理者権限を持つ者も含まれる。
Continue reading “WordPress wpDiscuz Plugin の認証バイパス脆弱性 CVE-2024-9488 が FIX: CVSS 値は 9.8”CVE-2024-43240 & CVE-2024-43242 in Ultimate Membership Pro Plugin Put 40,000 Websites at Risk
2024/10/17 SecurityOnline — 会員制のサブスクリプション管理に広く利用されている、WordPress プラグイン Ultimate Membership Pro に2つの重大な脆弱性が存在することが、Patchstack のセキュリティ研究者の Rafie Muhammad (Patchstack) により発見された。このプラグインは、有料コンテンツを提供する Web サイトで広く利用され、これまでに約4万回も販売されている。
Continue reading “WordPress Ultimate Membership の脆弱性 CVE-2024-43240/43242 が FIX:サイト侵害の恐れ”CVE-2024-9634 (CVSS 9.8): Critical GiveWP Flaw Exposes 100,000+ WordPress Sites to RCE
2024/10/15 SecurityOnline — 100,000 万以上のアクティブなインストールを誇る、WordPress 用ドネーション・プラグインで GiveWP に、深刻な脆弱性 CVE-2024-9634 が発見された。この、PHP オブジェクト・インジェクションの脆弱性 CVE-2024-9634 の悪用に成功した未認証の攻撃者は、標的 Web サイト上での任意のコード実行を達成し、寄付者の機密データを危険にさらし、サイトを完全に制御する可能性を手にする。この脆弱性は、セキュリティ研究者の lefab により発見された。
Continue reading “WordPress GiveWP の RCE 脆弱性 CVE-2024-9634 が FIX:CVSS 値は 9.8”Jetpack fixes critical information disclosure flaw existing since 2016
2024/10/14 BleepingComputer — 今日になって、WordPress Jetpack がリリースしたのは、深刻な問題に対する重要なセキュリティ・アップデートである。このアップデートでは、サイトにログインしたユーザーが、ビジターにより送信されたフォームにアクセスできるという、脆弱性が修正されている。Jetpack は、Automattic が開発した人気の WordPress プラグインであり、Web サイトを強化する機能と、セキュリティやパフォーマンスを高めるツールを提供している。WordPress によると、この Jetpack プラグインは、2,700 万の Web サイトにインストールされているという。
Continue reading “WordPress の Jetpack に深刻な脆弱性:8年間にわたり発見されず悪用されず・・・”CVE-2024-47374: LiteSpeed Cache Plugin Flaw Threatens Millions of WordPress Sites
2024/10/02 SecurityOnline — 600万以上のアクティブなインストール数を誇る、人気の WordPress 用の LiteSpeed Cache プラグインに、重大なセキュリティ脆弱性が発見された。この脆弱性は、認証を必要としない蓄積型 XSS (cross-site scripting ) の脆弱性であり、WordPress サイト上の機密情報の窃取や特権をエスカレートを、単一の HTTP リクエストを介して攻撃者に許すものだ。この脆弱性 CVE-2024-47374 (CVSS 7.1) は、LiteSpeed Cache プラグインのバージョン 6.5.1 で修正されている。
Continue reading “WordPress LiteSpeed Cache の XSS 脆弱性 CVE-2024-47374 が FIX:直ちにアップデートを!”CVE-2024-8353 (CVSS 10): Critical GiveWP Flaw, 100k WordPress Sites at Risk
2024/09/29 SecurityOnline — WordPress 用のドネーション・プラグインである GiveWP に、深刻な脆弱性 CVE-2024-8353 (CVSS:10.0) が発見された。この脆弱性は、リモート・コード実行につながる可能性のある、PHP オブジェクト・インジェクションに起因するものであり、悪用に成功した攻撃者は認証を必要とすることなく、影響を受けるWeb サイトを完全に制御できる可能性を手にする。
Continue reading “WordPress GiveWP の脆弱性 CVE-2024-8353 が FIX:CVSS 10.0 の XSS”CVE-2024-43917 (CVSS 9.3): Unpatched SQLi Flaw in TI WooCommerce Wishlist Threatens 100,000+ Sites
2024/09/27 SecurityOnline — 人気の WordPress プラグインである TI WooCommerce Wishlist に、深刻な脆弱性 CVE-2024-43917 (CVSS:9.8) が発見され、100,000 以上のサイトを危険にさらす可能性が生じている。この脆弱性の悪用に成功した攻撃者は、認証なしで任意の SQL クエリを実行できるようになり、影響を受ける Web サイトを完全な制御する権限を、不正に取得する可能性を手にする。
Continue reading “WordPress TI WooCommerce Wishlist の脆弱性 CVE-2024-43917:パッチは未適用”Critical Flaws Discovered in Jupiter X Core WordPress Plugin Affecting Over 90,000 Sites
2024/09/26 SecurityOnline — WordPress の Jupiter X Core プラグインに存在し、90,000 を超える Web サイトに影響を及ぼすとされる、2つの深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した未認証の攻撃者は、Web サイトの完全に制御や、管理者アカウント乗っ取りの可能性を手にする。
Continue reading “WordPress の Jupiter X Core プラグインの脆弱性が FIX:90,000 以上のサイトに影響”Automattic blocks WP Engine’s access to WordPress resources
2024/09/26 BleepingComputer — WordPress.org は、WP Engine によるリソースへのアクセスを禁止し、このプラットフォームがホストする Web サイトへのプラグイン更新の配信を停止し、その影響を受けるユーザーに対して、他のホスティング・プロバイダーを選択するよう促している。WordPress の主張は、WP Engine が自社の利益のために WordPress のコア機能を変更しているというものだ。さらに、その行動に対する批判がユーザーに届かないようにするために、何千ものサイトでダッシュボードのニュース・ウィジェットをブロックしたことへの対応だと述べている。
Continue reading “WordPress と WP Engine の対立:セキュリティの問題へと拡大している”2024/09/25 SecurityOnline — 人気の WordPress プラグインである The Events Calendar に、深刻なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-8275 (CVSS:9.8) は、バージョン 6.6.4 以下に影響を及ぼすものだ。Events Calendar plugin は、WordPress サイト上でのイベント・カレンダーの容易な作成/管理を実現するものであり、70万以上のアクティブ・インストール数を誇っている。このプラグインは、オンラインおよび F2F のイベントをサポートしており、また、プロフェッショナル向けの広範な機能を提供している。
Continue reading “WordPress Events Calendar Plugin の脆弱性 CVE-2024-8275 が FIX:SQLi に至る恐れ”WordPress Theme ‘Houzez’ and Associated Plugin Vulnerabilities Expose Thousands of Sites
2024/09/23 SecurityOnline — 広く使用されている WordPress テーマの Houzez と、関連プラグイン Houzez Login Register に、2つの重大な脆弱性が発見された。46,000 件を超える販売実績を誇る Houzez は、コンテンツと物件リストを効率的に管理する不動産会社にとって人気の選択肢である。この、新たに特定された脆弱性の悪用に成功した権限のないユーザーが、Houzez テーマを用いる WordPress サイトを乗っ取る可能性が生じており、リスクの広がりが懸念されている。
Continue reading “WordPress の Houzez テーマに深刻な脆弱性:大量のサイトが危殆化している”CVE-2024-8522 & CVE-2024-8529 (CVSS 10): LearnPress SQLi Flaw Leaves 90K+ WordPress Sites at Risk
20224/09/11 SecurityOnline — オンライン・コースの作成/管理ツールとして人気の WordPress LearnPress plugin に、2件の SQL インジェクション脆弱性 CVE-2024-8522/CVE-2024-8529 が発見された。これらの脆弱性は、CVSS スコア が最大値の 10.0 と評価されており、未認証の攻撃者に悪意の SQL クエリを許し、WordPress データベースに保存されている機密情報へのアクセスが生じるという。
Continue reading “WordPress LearnPress の脆弱性 CVE-2024-8522/8529 が FIX:CVSS 値は 10.0”2024/09/05 SecurityOnline — 500 万以上のアクティブ・インストールを誇る、WordPress の人気プラグイン LiteSpeed Cache に重大なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した未認証の訪問者は、管理者権限を持つユーザーなどのログイン・アカウントへのアクセスを達成し、WordPress ユーザーに深刻な脅威をもたらす。Patchstack のセキュリティ研究者 Rafie Muhammad が発見した、この脆弱性 CVE-2024-44000 は、CVSS スコア 9.8 (Critical) と評価されている。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2024-44000 (CVSS 9.8) が FIX:ただちにアップデートを!”Cyberattackers Spoof Palo Alto VPNs to Spread WikiLoader Variant
2024/09/04 DarkReading — サイバー犯罪者たちは、Palo Alto の VPN (virtual private network) ソフトウェアである GlobalProtect の販売者になりすまし、SEO (search engine optimization) ポイズニングを通じて WikiLoader マルウェアの新しい亜種を配信している。
Continue reading “WikiLoader マルウェア:Palo Alto VPN 販売を装う犯罪者が配信”CVE-2024-6386 (CVSS 9.9) in WPML Plugin Exposes Millions of WordPress Sites to RCE Attacks
2024/08/26 SecurityOnline — WordPress WPML plugin に発見された深刻な脆弱性 CVE-2024-6386 (CVSS:9.9) は、完全な乗っ取りのリスクに、100万以上のWeb サイトをさらすものだ。この脆弱性は、ポスト・エディタにアクセスできる認証されたリモート攻撃者に対して、サーバ上での悪意のコード実行を許すものだ。その結果として、データの盗難/Web サイトの改竄に加えて、将来の攻撃のためのバックドア設置などの、深刻な結果につながる可能性が生じる。
Continue reading “WordPress WPML Plugin の脆弱性 CVE-2024-6386 が FIX:PoC エクスプロイトも提供”Litespeed Cache bug exposes millions of WordPress sites to takeover attacks
2024/08/21 BleepingComputer — WordPress の LiteSpeed Cache プラグインで発見された深刻な脆弱性は、数百万の Web サイトに影響を及ぼすものであり、その悪用に成功した攻撃者に、不正な管理者アカウントの作成を許すため、乗っ取りへといたる懸念が生じている。オープンソースとして提供される LiteSpeed Cache は、最も人気の WordPress サイト高速化プラグインであり、500万以上のアクティブ・インストールを有し、WooCommerce/bbPress/ClassicPress/Yoast SEO をサポートしている。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2024-28000:積極的な攻撃が迫っている”Critical Flaw in Donation Plugin Exposed 100,000 WordPress Sites to Takeover
2024/08/20 SecurityWeek — WordPress の GiveWP plugin に存在する、致命的な脆弱性 CVE-2024-5932 (CVSS:10.0) により、10万以上の Web サイトがリモート・コード実行と任意のファイル削除攻撃にさらされていると、WordPress のセキュリティ会社 Defiant が警告している。この脆弱性は、give_title パラメータからの信頼できない入力のデシリアライズを介した、PHP オブジェクト・インジェクションとして説明されている。
Continue reading “WordPress GiveWP の脆弱性 CVE-2024-5932 (CVSS 10.0) が FIX:10万以上のサイトが危険な状態に!”10,000+ WordPress Sites at Risk: Critical File Deletion Flaw Found in InPost Plugins
2024/08/17 SecurityOnline — 人気の WordPress プラグインである InPost PL/InPost for WooCommerce プラグインに、致命的な脆弱性 CVE-2024-6500 (CVSS:10) が発見された。この欠陥は、任意のファイルの Read/Delete の脆弱性と説明されており、悪用に成功した攻撃者は、重要な “wp-config.php” コンフィグ・設ファイルなどの読込/削除が可能になる。
Continue reading “WordPress InPost PL Plugin の脆弱性 CVE-2024-6500 (CVSS 10) が FIX:直ちにパッチ適用を!”Over 3,000 GitHub accounts used by malware distribution service
2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine/Lumma Stealer/Rhadamanthys/RisePro/Atlantida Stealer などのインフォ・スティーラーである。
Continue reading “GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している”CVE-2024-3246: LiteSpeed Cache Plugin Vulnerability Puts Millions of WordPress Sites at Risk
2024/07/23 SecurityOnline — 500万以上のサイトにインストールされている、人気の WordPress プラグイン LiteSpeed Cache (LS Cache)に脆弱性が発見された。この脆弱性 CVE-2024-3246 (CVSS:6.1) の悪用に成功した攻撃者は、標的とする Web サイトに対して、悪意のコード注入/機密データの侵害/サイト制御の奪取などを可能にする。
Continue reading “WordPress Litespeed Cache Plugin の脆弱性 CVE-2024-3246:CSRF 攻撃の恐れ”CVE-2024-6457 (CVSS 9.8): Critical Flaw in HUSKY Plugin Threatens 100K+ WooCommerce Stores
2024/07/16 SecurityOnline — 広く使用されている WordPress プラグイン HUSKY – Products Filter Professional for WooCommerce に重大なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-6457 の CVSS スコアは 9.8 (Critical) であり、10万以上の WooCommerce オンラインストアに対する、不正なデータ侵害が生じる恐れがある。
Continue reading “WooCommerce HUSKY Plugin の脆弱性 CVE-2024-6457 (CVSS 9.8) が FIX:ただちにアップデートを!”CVE-2024-6695 (CVSS 9.8) in Popular WordPress Plugin Exposes 50,000 Sites to Admin Hijacking
2024/07/15 SecurityOnline — WordPress Profile Builder は、5万以上のアクティブなインストールを誇るプラグインだが、そこに存在する深刻な脆弱性 CVE-2024-6695 (CVSS:9.8) が、セキュリティ研究者の John Castro により発見された。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントを事前に必要とすることなく、脆弱な Web サイトの管理者権限を取得する可能性を手にする。
Continue reading “WordPress Profile Builder の脆弱性 CVE-2024-6695 が FIX:近々に PoC がリリースされる”Hackers target WordPress calendar plugin used by 150,000 sites
2024/07/09 BleepingComputer — WordPress Modern Events Calendar は、15万以上の Web サイトで利用される人気のプラグインである。このプラグインの脆弱性を悪用するハッカーによりたちが、標的とするサイトに任意ファイルをアップロードし、リモート・コード実行を試みている。Webnus が開発した Modern Events Calendar は 、リアル/バーチャル/ハイブリッドのイベントを組織し、管理するために使用されるプラグインである。
Continue reading “WordPress Modern Events Calendar の脆弱性 CVE-2024-5441 が FIX:15万サイトが標的に!”CVE-2024-6172: Critical Flaw in Icegram Express Plugin Threatens 90,000+ WordPress Sites
2024/07/02 SecurityOnline — メール・マーケティングやニュースレターに広く使われている WordPress プラグインの Icegram Express に、深刻な脆弱性が発見された。この脆弱性は CVE-2024-6172 として追跡されており、その CVSS スコアは 9.8 と最大に近い値となっている。
Continue reading “WordPress Icegram Express Plugin の脆弱性 CVE-2024-6172 が FIX:直ちにアップデートを!”WordPress Issues Urgent Security Update to Patch Multiple Vulnerabilities
2024/06/25 SecurityOnline — 世界有数の CMS である WordPress が、6月24日にリリースした WordPress 6.5.5 は、無数の Web サイトをサイバー攻撃にさらす可能性のある、3つの重大な脆弱性に対処したものだ。
Continue reading “WordPress Core 6.5.5 がリリース:無数の Web サイトに影響をおよぼす3つの脆弱性が FIX”SEOPress Plugin Alert: CVE-2024-5488 Flaw Exposes 300K Sites
2024/06/25 SecurityOnline — 300,000 万以上のアクティブなインストールを誇る WordPress プラグイン SEOPress に、脆弱性 CVE-2024-5488 (CVSS:8.1) が発見された。この脆弱性の悪用に成功した権限のない攻撃者は、認証をバイパスして機密データの操作を達成し、リモート・コード実行の可能性を手にする。
Continue reading “WordPress SEOPress Plugin の脆弱性 CVE-2024-5488 が FIX:30万のサイトに RCE 攻撃に可能性”Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack
2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。
Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”CVE-2024-5756 (CVSS 9.8): Critical Icegram Express Flaw Puts 90,000 WordPress Sites at Risk
2024/06/23 SecurityOnline — 90,000 以上のアクティブなインストールを誇る、WordPress 用のメール・マーケティング・プラグイン Icegram Express に発見された脆弱性 CVE-2024-5756 (CVSS:9.8) により、機密性の高いユーザー・データが危険にさられる可能性が生じている。この脆弱性の悪用に成功した未認証の攻撃者は、プラグインのデータベース・クエリに悪意のコードを注入することが可能となるため、大規模なデータ漏洩につながる恐れがある。
Continue reading “WordPress Icegram Express の脆弱性 CVE-2024-5756 が FIX:CVSS 値は 9.8”CVE-2024-3105 (CVSS 9.9) in Woody Code Snippets Plugin Threatens 70,000+ WordPress Sites
2024/06/14 SecurityOnline — WordPress のプラグイン Woody Code Snippets に、深刻な脆弱性 CVE-2024-3105 (CVSS:9.9) が発見された。 この脆弱性の悪用に成功した、コントリビューター (寄稿者) 以上のアクセス権を持つ認証されたユーザーは、対象となるサーバ上で任意のコード実行を可能にし、このプラグインを使用している Web サイトに深刻なリスクをもたらす。
Continue reading “WordPress Woody Code の脆弱性 CVE-2024-3105 が FIX:7万以上の Webサイトに影響?”Security Flaws Found in Popular WooCommerce Plugin
2024/06/07 InfoSecurity — WordPress のプラグイン WooCommerce Amazon Affiliates (WZone) に、3つの脆弱性が存在することが、Patchstack により明らかにされた。Amazon アフィリエイト・プログラム経由で、Web サイト運営者やブロガーの収益化を支援するように、WooCommerce Amazon Affiliates は設計されている。AA-Team により開発された、この WordPress プラグインは、35,000 以上の販売実績を有している。先日に発見された脆弱性は、バージョン 14.0.10 を含む、すべてのテスト済みバージョンに影響を与えるものであり、バージョン 14.0.20 以降にも影響を与える可能性があるという。
Continue reading “WordPress WooCommerce Plugin に3つの脆弱性:公式パッチは未適用”CVE-2024-3820 (CVSS 10) in wpDataTables Puts 70,000 WordPress Sites at Risk
2024/06/02 SecurityOnline — 人気の表やグラフ作成ツールである WordPress wpDataTables plugin に、深刻なセキュリティ脆弱性 CVE-2024-3820 (CVSS:10.0) が発見された。この脆弱性の悪用に成功した攻撃者は、プラグインのプレミアム・バージョンに悪意の SQL コードを注入し、WordPress サイト内の機密データに不正アクセスする可能性を手にする。
Continue reading “WordPress wpDataTables の脆弱性 CVE-2024-3820 が FIX:70,000 件のサイトが危険”CVE-2024-5522 (CVSS 10): Critical Security Flaw Threatens Thousands of WordPress Sites
2024/05/31 SecurityOnline — 人気の WordPress HTML5 Video Player プラグインに、深刻なセキュリティ脆弱性 CVE-2024-5522 (CVSS:10) が発見された。この脆弱性の悪用に成功した、認証されていない攻撃者は、Web サイトのデータベースへ向けた、SQL インジェクションが可能になるため、機密情報の漏えいが生じ、サイトの完全性が損なわれる可能性がある。この脆弱性は、WPScan のセキュリティ研究者 Mayank Deshmukh により発見/報告された。
Continue reading “WordPress HTML5 Video Player の脆弱性 CVE-2024-5522 が FIX:ただちにパッチを!”Critical WordPress Plugin Flaws Exploited to Inject Malicious Scripts and Backdoors
2024/05/30 SecurityWeek — Fastly からの警告によると、3つの WordPress プラグインの脆弱性が悪用され、悪意のスクリプトやバックドアが Web サイトに注入されている。これらの脆弱性には、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) 攻撃の実行で、悪用される可能性があるという。具体的に言うと、攻撃者は新しい WordPress 管理者アカウントを作成し、プラグインやテーマのファイルに PHP バックドアを注入し、感染させたターゲットを監視するための、追跡スクリプトを設定できる。
Continue reading “WordPress プラグインを悪用するキャンペーン:スクリプトやバックドアを Web サイトに注入”WordPress Plugin Exploited to Steal Credit Card Data from E-commerce Sites
2024/05/28 TheHackerNews — WordPress の Code Snippet という、あまり知られていないプラグインを悪用して、標的サイトに悪意の PHP コードを挿入することで、クレジットカード情報を窃取するという攻撃が発生している。このキャンペーンは、2024年5月11日に Sucuri により発見されたものであり、ユーザーによるカスタム PHP コードの追加を可能にする、Dessky Snippets という WordPress プラグインを悪用するものだ。なお、このプラグイン は、200 件以上インストールされている。
Continue reading “WordPress Dessky Snippets Plugin:クレジットカード情報の窃取に悪用されている – Sucuri”Unauthenticated Attackers Can Hijack 400K+ WordPress Sites via Fluent Forms Bug (CVE-2024-2771)
2024/05/20 SecurityOnline — 400,000 以上のインストール数を誇る WordPress プラグインの Fluent Forms に、3つの重大なセキュリティ脆弱性 CVE-2024-4709/CVE-2024-2771/CVE-2024-2782 が発見された。これらの脆弱性が攻撃者に悪用されると、XSS (cross-site scripting)/不正アクセス/権限昇格などが発生し、Web サイトの侵害や機密データの窃取にいたる可能性が生じる。
Continue reading “WordPress Fluent Forms プラグインの脆弱性 CVE-2024-4709 などが FIX:400,000 以上のサイトが危険に晒されている”Critical Security Flaws Uncovered in Popular WordPress eCommerce Theme XStore
2024/05/17 SecurityOnline — WordPress プラットフォーム上におけるオンライン・ストア構築のためのツールとして、広く利用されている XStore テーマと、それに付随する XStore Core プラグインに、一連の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、Web サイトの乗っ取り/データ侵害/悪意のコード注入などの、さまざまな悪意のアクションを引き起こす可能性を持つ。
Continue reading “XStore の Eコマース・テーマの深刻な脆弱性が FIX:WordPress/WooCommerce が危険な状態に”CVE-2024-4984: Yoast SEO Flaw Exposes Millions of WordPress Sites to Attack
2024/05/16 SecurityOnline — WordPress プラグイン Yoast SEO は、500万以上のアクティブなインストールを持ち、広く使用されている製品である。そのYoast SEO に、Stored Cross-Site Scripting (XSS) の脆弱性 CVE-2024-4984 が発見された。 この脆弱性を悪用する行為者は、有害なスクリプトを Web サイトに注入することを可能にし、訪問者のデータを危険にさらし、トラフィックをリダイレクトするだけではなく、影響を受けるサイトのコントロールを奪うこともあり得るという。
Continue reading “Yoast SEO の深刻な XSS 脆弱性 CVE-2024-4984 が FIX:500万以上のサイトが危険な状態?”Critical Flaws Found in Popular LearnPress LMS Plugin for WordPress
2024/06/12 SecurityOnline — 世界中で 90,000以上のアクティブなインストールを誇る、WordPress LMS プラグインは、オンライン・コースを作成/管理するためのツールである。この WordPress LMS で発生した、深刻な脆弱性 CVE-2024-4397/CVE-2024-4434 の悪用に成功した攻撃者は、任意のファイル・アップロードや不正なデータベース・アクセスを実行する可能性を持つ。
Continue reading “WordPress LearnPress LMS Plugin の脆弱性 CVE-2024-4397/4434 が FIX:直ちにアップデートを!”Litespeed Cache WordPress Plugin Actively Exploited In The Wild
2024/05/08 SecurityAffairs — WordPress 用 LiteSpeed Cache プラグインの深刻な脆弱性を、脅威アクターたちが積極的に悪用していると、WPScan の研究者たちが報告している。LiteSpeed Cache for WordPress (LSCWP) は、オールインワンのサイト高速化プラグインであり、独自のサーバ・レベル・キャッシュと最適化のための機能を備えている。そして、このプラグインは、500万以上のアクティブなインストール数を誇っている。
Continue reading “WordPress Litespeed Cache Plugin の脆弱性 CVE-2023-40000:積極的な悪用を観測”CVE-2024-4041: Security Flaw Found in Popular Yoast SEO Plugin – Update Immediately!
2024/05/06 SecurityOnline — WordPress における検索エンジン最適化プラグインとして人気の Yoast SEO に、セキュリティ脆弱性が発見され、世界中で 500万以上と言われるアクティブなインストールに影響を及ぼしている。このクロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2024-4041 (CVSS:6.1) により、Web サイトの完全性と管理者の管理に、深刻な脅威が生じる。
Continue reading “WordPress プラグイン Yoast SEO の深刻な脆弱性 CVE-2024-4041 が FIX:ただちにアップデートを!”WordPress Sites Under Widespread Attack – LiteSpeed Cache Plugin Exploit Puts Millions at Risk
2024/05/03 SecurityOnline — 現時点で世界中の 500万以上の Web サイトにインストールされている、WordPress のLiteSpeed Cache Plugin の脆弱性を、ハッカーたちが積極的に悪用している。この、脆弱性 CVE-2023-40000 を悪用する攻撃者は、管理者アカウントの作成を達成し、無数の WordPress サイトに深刻なセキュリティリスクをもたらしている。
Continue reading “WordPress の LiteSpeed Cache Plugin の脆弱性 CVE-2023-40000 が FIX:深刻な蓄積型 XSS”
IoT OT Security News 
You must be logged in to post a comment.