WordPress脆弱性情報:2025年03月分

2025年03月に確認されたWordPress関連の脆弱性情報です。プラグイン445件、テーマ28件、合計473件の脆弱性が報告されています。

2025年03月に確認されたWordPress関連の脆弱性情報です。

プラグイン445件、テーマ28件、合計473件の脆弱性が報告されています。

プラグイン

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Sunshine Photo Cart PHP Object Injection Vulnerability <= 3.4.10 3.4.11 CVE-2025-31084
Material Dashboard 権限昇格 <= 1.4.5 1.4.6 CVE-2025-31095
Bit Assist パストラバーサル <= 1.5.4 1.5.5 CVE-2025-30834
Kento WordPress Stats クロスサイトスクリプティング <= 1.1 N/A CVE-2025-30559
Multiple Shipping And Billing Address For Woocommerce PHP Object Injection Vulnerability <= 1.5 1.6 CVE-2025-31087
image-upload-for-bbpress 任意ファイルアップロード <= 1.1.19 1.1.20 CVE-2025-2006
soj-soundslides 任意ファイルアップロード <= 1.2.2 N/A CVE-2025-2249
Administrator Z Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update vulnerability <= 2025.03.24 2025.03.27 CVE-2025-2815
Pop-Up Chop Chop ローカルファイルインクルージョン <= 2.1.7 N/A CVE-2025-31432
so-called-air-quotes Unauthenticated Arbitrary Shortcode Execution <= 0.1 N/A CVE-2025-2803
KK I Like It クロスサイトスクリプティング <= 1.7.5.3 N/A CVE-2025-31443
ShowTime Slideshow クロスサイトスクリプティング <= 1.6 N/A CVE-2025-31444
Microblog Poster クロスサイトスクリプティング <= 2.1.6 N/A CVE-2025-31435
Terms of Use クロスサイトスクリプティング <= 2.0 N/A CVE-2025-31440
Elements kit Elementor addons クロスサイトスクリプティング <= 3.4.7 3.4.8 CVE-2024-11180
Shortcodes by United Themes Unauthenticated Arbitrary Shortcode Execution vulnerability <= 5.1.6 5.1.7 CVE-2024-13557
Magic Embeds クロスサイトスクリプティング <= 3.1.2 N/A CVE-2025-31433
FormLift for Infusionsoft Web Forms クロスサイトスクリプティング <= 7.5.19 7.5.20 CVE-2025-31434
WP-OGP クロスサイトスクリプティング <= 1.0.5 N/A CVE-2025-31437
NertWorks All in One Social Share Tools クロスサイトリクエストフォージェリ <= 1.26 N/A CVE-2025-31447
Simple Trackback Disabler クロスサイトリクエストフォージェリ <= 1.4 N/A CVE-2025-31448
Browser Caching with .htaccess クロスサイトリクエストフォージェリ 1.2.1 N/A CVE-2025-31439
DAP to Autoresponders Email Syncing Unauthenticated Information Exposure vulnerability <= 1.0 N/A CVE-2025-2840
WP Supersized クロスサイトリクエストフォージェリ <= 3.1.6 N/A CVE-2025-31438
checkout-mestres-wp 8.7.5 – Unauthenticated Arbitrary Options Update 8.6.5 – 8.7.5 CVE-2025-2266
WPC Smart Upsell Funnel for WooCommerce 権限昇格 <= 3.0.4 3.0.5 CVE-2025-30772
drag-and-drop-multiple-file-upload-contact-form-7 任意ファイル削除 <= 1.3.8.7 1.3.8.8 CVE-2025-2328
Flickr set slideshows SQLインジェクション <= 0.9 N/A CVE-2025-30589
WPGuppy SQLインジェクション <= 1.1.3 1.1.4 CVE-2025-30775
WP Travel Engine ローカルファイルインクルージョン <= 6.3.5 6.3.6 CVE-2025-30870
Essential Real Estate ローカルファイルインクルージョン <= 5.2.0 5.2.1 CVE-2025-30849
Ads by WPQuads アクセス制御の不備 <= 2.0.87.1 2.0.88 CVE-2025-30855
drag-and-drop-multiple-file-upload-contact-form-7 任意ファイル削除 <= 1.3.8.8 1.3.8.9 CVE-2025-2485
tagDiv Composer クロスサイトスクリプティング <= 5.3 5.4 CVE-2025-1705
Image Wall クロスサイトスクリプティング <= 3.0 3.1 CVE-2025-30869
Advanced Post Search クロスサイトスクリプティング <= 1.1.0 N/A CVE-2025-30548
WP Cards クロスサイトスクリプティング <= 1.5.1 N/A CVE-2025-30547
OK Poster Group クロスサイトスクリプティング <= 1.1 N/A CVE-2025-30544
Hostel クロスサイトスクリプティング <= 1.1.5 1.1.5.5 CVE-2025-30848
Breezing Forms クロスサイトスクリプティング <= 1.2.8.11 N/A CVE-2025-30520
Quick Localization クロスサイトスクリプティング <= 0.1.0 N/A CVE-2025-30607
Event Tickets クロスサイトスクリプティング <= 5.20.0 5.20.1 CVE-2025-30794
Pesapal Gateway for Woocommerce クロスサイトスクリプティング <= 2.1.0 N/A CVE-2025-30579
Tidekey クロスサイトスクリプティング <= 1.1 N/A CVE-2025-30563
VaultRE Contact Form 7 クロスサイトスクリプティング <= 1.0 N/A CVE-2025-31101
Job Colors for WP Job Manager クロスサイトスクリプティング <= 1.0.4 N/A CVE-2025-31031
LearnPress アクセス制御の不備 <= 4.2.7.5 4.2.7.6 CVE-2025-22739
advanced-google-recaptcha SQLインジェクション <= 1.29 1.30 CVE-2025-2074
td-composer クロスサイトスクリプティング <= 5.3 5.4 CVE-2025-2804
ameliabooking Unauthenticated Full Path Disclosure <= 1.2.19 1.2.20 CVE-2025-2578
kubio ローカルファイルインクルージョン <= 2.5.1 2.5.2 CVE-2025-2294
WP Ultimate Exporter Unauthenticated PHP Object Injection vulnerability <= 2.13 2.14 CVE-2025-2332
uListing 権限昇格 <= 2.1.7 N/A CVE-2025-1653
FlexStock SQLインジェクション <= 3.13.1 3.13.2 CVE-2025-30765
TranslatePress PHP Object Injection Vulnerability <= 2.9.6 2.9.7 CVE-2025-30773
Product Import Export for WooCommerce Authenticated (Admin+) PHP Object Injection via form_data Parameter vulnerability <= 2.5.0 2.5.1 CVE-2025-1913
WordPress Importer Authenticated (Administrator+) PHP Object Injection vulnerability <= 0.8.3 0.8.4 CVE-2024-13889
WIP WooCarousel Lite クロスサイトスクリプティング <= 1.1.7 1.1.8 CVE-2025-30769
WP Cassify クロスサイトスクリプティング <= 2.3.5 2.3.6 CVE-2025-30771
Charitable クロスサイトスクリプティング <= 1.8.4.7 1.8.4.8 CVE-2025-30770
jAlbum Bridge クロスサイトスクリプティング <= 2.0.18 2.0.19 CVE-2025-30768
TablePress クロスサイトスクリプティング <= 3.0.4 3.1 CVE-2025-2685
Responsive Addons for Elementor Authenticated (Contributor+) Sensitive Information Exposure vulnerability <= 1.6.8 1.6.9 CVE-2025-2228
Product Import Export for WooCommerce サーバーサイドリクエストフォージェリ <= 2.5.0 2.5.1 CVE-2025-1912
PDF for WPForms Arbitrary Shortcode Execution vulnerability <= 5.3.0 5.3.1 CVE-2025-30767
Product Import Export for WooCommerce ディレクトリトラバーサル <= 2.5.0 2.5.1 CVE-2025-1769
Zapier for WordPress サーバーサイドリクエストフォージェリ <= 1.5.1 1.5.2 CVE-2024-13411
Football Pool クロスサイトリクエストフォージェリ <= 2.12.2 2.12.3 CVE-2025-30764
Booknetic クロスサイトリクエストフォージェリ < 4.1.5 4.1.5 CVE-2024-13146
mediaview クロスサイトスクリプティング <= 1.1.2 CVE-2025-2481
User Registration 権限昇格 < 4.1.2 4.1.2 CVE-2025-2563
wp-compress-image-optimizer Authenticated (Subscriber+) Missing Authorization via Multiple Functions <= 6.30.15 6.30.16 CVE-2025-2110
bwl-advanced-faq-manager Missing Authorization to Authenticated (Subscriber+) Limited Arbitrary Options Update <= 2.1.4 2.1.5 CVE-2024-13801
profit-products-tables-for-woocommerce Unauthenticated Arbitrary Filter Call <= 1.0.6.7 1.0.6.8 CVE-2025-1514
boldgrid-backup コマンドインジェクション <= 1.16.10 1.17.0 CVE-2025-2257
newsletters-lite クロスサイトスクリプティング <= 4.9.9.7 4.9.9.8 CVE-2025-2009
Smart Maintenance Mode クロスサイトスクリプティング <= 1.5.2 N/A CVE-2025-1490
SH Email Alert クロスサイトスクリプティング <= 1.0 N/A CVE-2025-2165
Advanced iFrame Unauthenticated Settings Update vulnerability <= 2024.5 2025.0 CVE-2025-1440
Advanced iFrame クロスサイトスクリプティング <= 2024.5 2025.0 CVE-2025-1437
Jobs for WordPress Authenticated (Subscriber+) Arbitrary File Read vulnerability <= 2.7.11 2.7.12 CVE-2025-1310
Event post クロスサイトスクリプティング <= 5.9.9 5.9.10 CVE-2025-2167
CRM and Lead Management by vcita クロスサイトスクリプティング <= 2.7.4 2.7.5 CVE-2024-13702
Spectra クロスサイトスクリプティング <= 2.19.0 2.19.1 CVE-2025-1784
Gallery for Social Photo クロスサイトスクリプティング <= 1.0.0.35 1.0.0.37 CVE-2025-26742
Advanced Woo Search クロスサイトスクリプティング <= 3.28 3.29 CVE-2025-2302
Ayyash Studio クロスサイトスクリプティング <= 1.0.3 N/A CVE-2025-2576
Amazing service box Addons For WPBakery Page Builder クロスサイトスクリプティング <= 2.0.0 N/A CVE-2025-2573
Favorites クロスサイトスクリプティング < 2.3.5 2.3.5 CVE-2025-1452
Ultimate Dashboard Missing Authorization to Authenticated (Subscriber+) Plugin Modules Activation/Deactivation vulnerability <= 3.8.7 3.8.8 CVE-2025-2276
docpro ローカルファイルインクルージョン <= 2.0.1 CVE-2025-28916
hide-my-wp ローカルファイルインクルージョン <= 5.4.01 5.4.02 CVE-2025-26909
getshop-ecommerce ローカルファイルインクルージョン <= 1.3 CVE-2024-54362
formality ローカルファイルインクルージョン <= 1.5.7 1.5.8 CVE-2025-24690
linkedin-lite ローカルファイルインクルージョン <= 1.0 CVE-2025-23937
custom-field-list-widget ローカルファイルインクルージョン <= 1.5.1 CVE-2025-23952
product-import-export-for-woo ディレクトリトラバーサル <= 2.5.0 2.5.1 CVE-2025-1911
advanced-iframe クロスサイトスクリプティング <= 2024.5 2025.0 CVE-2025-1439
ultimate-blocks クロスサイトスクリプティング <= 3.2.7 3.2.8 CVE-2025-1703
ultimate-blocks クロスサイトスクリプティング <= 3.2.7 3.2.8 CVE-2025-1312
EZ SQL Reports Shortcode Widget and DB Backup クロスサイトリクエストフォージェリ 4.11.13-5.25.08 5.25.10 CVE-2025-2319
WP e-Commerce Style Email クロスサイトリクエストフォージェリ <= 0.6.2 N/A CVE-2025-30615
Flickr set slideshows SQLインジェクション <= 0.9 N/A CVE-2025-30590
wp-church-donation クロスサイトスクリプティング <= 1.7 CVE-2024-13690
Digital License Manager クロスサイトスクリプティング <= 1.7.3 1.7.4 CVE-2025-2635
WordPress SQL Backup クロスサイトリクエストフォージェリ <= 3.5.2 N/A CVE-2025-30608
Replace Default Words クロスサイトスクリプティング <= 1.3 N/A CVE-2025-30612
Map Contact クロスサイトスクリプティング <= 3.0.4 N/A CVE-2025-30588
Alert Box Block – Display notice/alerts in the front end クロスサイトスクリプティング <= 1.1.2 N/A CVE-2024-13731
DICOM Support クロスサイトスクリプティング <= 0.10.6 0.10.7 CVE-2024-12623
DesignThemes Core Features クロスサイトスクリプティング <= 4.8 N/A CVE-2025-0845
WP Social Widget クロスサイトスクリプティング <= 2.2.7 2.2.8 CVE-2025-30610
Your Simple SVG Support クロスサイトスクリプティング <= 1.0.1 1.0.2 CVE-2025-2542
GDPR Cookie Compliance クロスサイトスクリプティング < 4.15.9 4.15.9 CVE-2025-1623
Frndzk Expandable Bottom Bar クロスサイトスクリプティング <= 1.0 N/A CVE-2025-2510
Easy Page Transition クロスサイトスクリプティング <= 1.0.1 N/A CVE-2025-30606
WP Compress サーバーサイドリクエストフォージェリ <= 6.30.15 6.30.16 CVE-2025-2109
Easy Digital Downloads Unauthenticated Private Post Title Disclosure vulnerability <= 3.3.6.1 3.3.7 CVE-2025-2252
Directorist Missing Authorization to Unauthenticated Arbitrary Post Publishing vulnerability <= 8.2 8.3 CVE-2025-2224
teachPress クロスサイトリクエストフォージェリ <= 9.0.9 N/A CVE-2025-1320
sourceplay-navermap アクセス制御の不備 <= 0.0.2 N/A CVE-2025-30605
estatebud-properties-listings クロスサイトリクエストフォージェリ <= 5.5.0 CVE-2024-13710
WP Google Calendar Manager SQLインジェクション <= 2.1 N/A CVE-2025-28939
Simple Post Series クロスサイトスクリプティング <= 2.4.4 N/A CVE-2025-28934
Fancybox Plus クロスサイトスクリプティング <= 1.0.1 N/A CVE-2025-28935
WP Contact Form III クロスサイトスクリプティング <= 1.6.2d N/A CVE-2025-26560
Cookies Pro クロスサイトスクリプティング <= 1.0 N/A CVE-2025-26546
UTM tags tracking for Contact Form 7 クロスサイトスクリプティング <= 2.1 N/A CVE-2025-26544
Secure Invites クロスサイトスクリプティング <= 1.3 N/A CVE-2025-26559
Zalo Live Chat クロスサイトスクリプティング <= 1.1.0 N/A CVE-2025-26542
Bitcoin / AltCoin Payment Gateway for WooCommerce クロスサイトスクリプティング <= 1.7.6 N/A CVE-2025-26541
Display Post Meta クロスサイトスクリプティング <= 2.4.4 N/A CVE-2025-26575
Rizzi Guestbook クロスサイトスクリプティング <= 4.0.1 N/A CVE-2025-26573
MemberSpace クロスサイトスクリプティング <= 2.1.13 2.1.14 CVE-2025-26874
Random Quotes クロスサイトスクリプティング <= 1.3 N/A CVE-2025-27267
GDPR Tools クロスサイトスクリプティング <= 1.0.2 N/A CVE-2025-26537
Block Logic リモートコード実行 <= 1.0.8 N/A CVE-2025-2303
profilegrid-user-profiles-groups-and-communities Authenticated (Subscriber+) PHP Object Injection <= 5.9.4.5 5.9.4.6 CVE-2025-0724
WooCommerce Multivendor Marketplace – REST API SQLインジェクション <= 1.6.2 N/A CVE-2025-1311
ProfileGrid SQLインジェクション <= 5.9.4.7 5.9.4.8 CVE-2025-0723
Code Clone SQLインジェクション <= 0.9 N/A CVE-2025-2478
users-customers-import-export-for-wp-woocommerce サーバーサイドリクエストフォージェリ <= 2.6.2 2.6.3 CVE-2025-1970
wp-marketing-automations SQLインジェクション <= 3.5.1 3.5.2 CVE-2025-2186
users-customers-import-export-for-wp-woocommerce Authenticated (Admin+) PHP Object Injection via form_data Parameter <= 2.6.2 2.6.3 CVE-2025-1971
CryoKey クロスサイトスクリプティング <= 2.4 N/A CVE-2025-2477
Gotcha クロスサイトスクリプティング <= 1.0.0 N/A CVE-2025-2482
Easy Custom Admin Bar クロスサイトスクリプティング <= 1.0 N/A CVE-2025-2479
Multi Video Box クロスサイトスクリプティング <= 1.5.2 N/A CVE-2025-2484
Newsletters クロスサイトスクリプティング <= 4.9.9.7 4.9.9.8 CVE-2024-13739
Make Builder サーバーサイドリクエストフォージェリ <= 1.1.10 1.1.11 CVE-2024-13856
FluentForm IP-Spoofing vulnerability <= 5.2.12 6.0.0 CVE-2024-13666
cits-support-svg-webp-media-upload クロスサイトリクエストフォージェリ <= 4.2 N/A CVE-2024-13768
users-customers-import-export-for-wp-woocommerce ディレクトリトラバーサル <= 2.6.2 2.6.3 CVE-2025-1972
users-customers-import-export-for-wp-woocommerce ディレクトリトラバーサル <= 2.6.2 2.6.3 CVE-2025-1973
bitspecter-suite クロスサイトスクリプティング <= 1.0.0 1.1.0 CVE-2025-2577
cits-support-svg-webp-media-upload クロスサイトリクエストフォージェリ <= 4.2 CVE-2025-0807
profilegrid-user-profiles-groups-and-communities Missing Authorinzation to Authenticated (Subscriber+) Join Group Requests Management <= 5.9.4.4 5.9.4.5 CVE-2025-1408
motors-car-dealership-classified-listings Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Deletion and Listing Template Creation <= 1.4.57 1.4.58 CVE-2024-13737
give Authenticated (Subscriber+) Sensitive Information Exposure <= 3.22.1 3.22.2 CVE-2025-2331
NP Quote Request for WooCommerce 情報開示 <= 1.9.179 1.9.180 CVE-2024-13558
File Away Missing Authorization to Unauthenticated Arbitrary File Read vulnerability <= 3.9.9.0.1 N/A CVE-2025-2539
Order Export & Order Import for WooCommerce Authenticated (Admin+) PHP Object Injection via form_data Parameter vulnerability <= 2.6.0 2.6.1 CVE-2024-13921
HT Mega クロスサイトスクリプティング <= 2.8.3 2.8.4 CVE-2025-1802
Order Export & Order Import for WooCommerce サーバーサイドリクエストフォージェリ <= 2.6.0 2.6.1 CVE-2024-13923
Order Export & Order Import for WooCommerce ディレクトリトラバーサル <= 2.6.0 2.6.1 CVE-2024-13920
Order Export & Order Import for WooCommerce ディレクトリトラバーサル <= 2.6.0 2.6.1 CVE-2024-13922
File Away ファイルアップロード <= 3.9.9.0.1 N/A CVE-2025-2512
Age Gate Unauthenticated Local PHP File Inclusion via 'lang' vulnerability <= 3.5.3 3.5.4 CVE-2025-2505
Eventin ローカルファイルインクルージョン <= 4.0.24 4.0.25 CVE-2025-1770
FoodBakery クロスサイトリクエストフォージェリ <= 4.7 N/A CVE-2024-13933
FoodBakery Missing Authorization in Multiple Functions vulnerability <= 4.7 4.8 CVE-2024-12920
Site Reviews クロスサイトスクリプティング < 7.2.5 7.2.5 CVE-2025-1232
Eventin Missing Authorization to Unauthenticated Payment Status Update vulnerability <= 4.0.24 4.0.25 CVE-2025-1766
AHAthat SQLインジェクション <= 1.6 N/A CVE-2025-2511
Custom Twitter Feeds (Tweets Widget) クロスサイトリクエストフォージェリ <= 2.2.5 2.3.0 CVE-2025-1314
xpro-elementor-addons クロスサイトスクリプティング <= 1.4.7.1 1.4.8 CVE-2025-2108
Service Finder Booking 権限昇格 <= 5.0 5.1 CVE-2024-13442
BoomBox Theme Extensions 権限昇格 <= 1.8.0 1.8.1 CVE-2024-12295
s2Member Pro ローカルファイルインクルージョン <= 250214 N/A CVE-2024-12563
cozystay Missing Authorization to Arbitrary Action Execution in ajax_handler <= 1.7.0 1.7.1 CVE-2024-13412
GiveWP Missing Authorization to Unauthenticated Arbitrary Earning Reports Disclosure via give_reports_earnings Function vulnerability <= 3.22.0 3.22.1 CVE-2025-2025
Poll Maker クロスサイトスクリプティング < 5.5.4 5.5.4 CVE-2024-13602
LifterLMS Missing Authorization to Unauthenticated Post Trashing vulnerability <= 8.0.1 8.0.2 CVE-2025-2290
minimog Unauthenticated Local PHP File Inclusion <= 3.7.0 3.8.0 CVE-2024-13790
cozystay <= 3.9.0 3.10.0 CVE-2024-13410
altair Unauthenticated Arbitrary Options Update via pp_import_current <= 5.2.4 5.2.5 CVE-2024-12922
GS Logo Slider Unauthenticated Arbitrary Shortcode Execution vulnerability <= 3.7.3 3.7.4 CVE-2025-2262
WordPress form builder plugin for contact forms, surveys and quizzes – Tripetto クロスサイトリクエストフォージェリ <= 8.0.9 8.0.10 CVE-2025-1530
PHP/MySQL CPU performance statistics PHP Object Injection vulnerability <= 1.2.1 N/A CVE-2025-22526
PluginPass 任意ファイルダウンロード <= 0.9.10 N/A CVE-2024-54291
HUSKY ローカルファイルインクルージョン <= 1.3.6.4 1.3.6.5 CVE-2025-26890
Realteo 認証回避 <= 1.2.8 1.2.9 CVE-2025-2232
WPSchoolPress 権限昇格 <= 2.2.16 N/A CVE-2025-1667
ulisting Missing Authorization to Authenticated (Subscriber+) Arbitrary Post Meta Update and PHP Object Injection <= 2.2.0 CVE-2025-1657
WPSchoolPress SQLインジェクション <= 2.2.16 N/A CVE-2025-1670
WPSchoolPress SQLインジェクション <= 2.2.16 N/A CVE-2025-1669
Thumbnail carousel slider SQLインジェクション <= 1.0.4 1.0.5 CVE-2019-25222
tripetto クロスサイトスクリプティング <= 8.0.9 8.0.10 CVE-2024-13497
wp-test-email クロスサイトスクリプティング <= 1.1.8 1.1.9 CVE-2025-2325
Ad Inserter クロスサイトスクリプティング <= 2.8.0 2.8.1 CVE-2025-22623
pixelstats クロスサイトスクリプティング <= 0.8.2 N/A CVE-2025-2164
Zoorum Comments クロスサイトスクリプティング <= 0.9 N/A CVE-2025-2163
WC Affiliate Missing Authorization to Authenticated (Subscriber+) Sensitive Information Exposure via wf-export-all vulnerability <= 2.5.3 2.6 CVE-2024-12336
WPSchoolPress Missing Authorization to Arbitrary User Deletion vulnerability <= 2.2.16 N/A CVE-2025-1668
wp01 任意ファイルダウンロード <= 2.6.2 CVE-2025-2267
traveler クロスサイトスクリプティング <= 3.1.8 3.1.9 CVE-2025-1773
traveler ローカルファイルインクルージョン <= 3.1.8 3.1.9 CVE-2025-1771
WP JobHunt 認証回避 <= 7.1 N/A CVE-2024-11286
WP JobHunt 権限昇格 <= 7.1 N/A CVE-2024-11284
AnalyticsWP SQLインジェクション <= 2.0.0 2.1.0 CVE-2024-13321
WPCOM Member SQLインジェクション <= 1.7.6 1.7.7 CVE-2025-2221
SoundRise Music Authenticated (Subscriber+) Arbitrary Options Update vulnerability <= 1.6.11 1.7.1 CVE-2025-2103
instawp-connect クロスサイトリクエストフォージェリ <= 0.1.0.83 0.1.0.84 CVE-2024-13913
industrial Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update <= 1.7.8 1.7.9 CVE-2024-13376
jobcareer Missing Authorization to Authenticated (Subscriber+) Multiple Administrative Actions <= 7.1 CVE-2024-12810
eco-nature Missing Authorization to Authenticated (Subscriber+) Limited Options Update <= 2.0.4 2.1.0 CVE-2025-0952
WP JobHunt 認証回避 <= 7.1 N/A CVE-2024-11283
hide-my-wp Unauthenticated Limited File Read <= 5.4.01 5.4.02 CVE-2025-2056
loginpress クロスサイトリクエストフォージェリ <= 3.3.1 4.0.0 CVE-2025-1764
civi Sensitive Information Exposure <= 2.1.4 CVE-2024-13773
CM WordPress FAQ クロスサイトスクリプティング <= 1.2.5 1.2.6 CVE-2025-2166
DethemeKit For Elementor クロスサイトスクリプティング <= 2.1.9 2.1.10 CVE-2025-1526
IP Based Login クロスサイトスクリプティング < 2.4.1 2.4.1 CVE-2024-12800
ShareThis Dashboard for Google Analytics Missing Authorization to Unauthenticated Feature Deactivation vulnerability <= 3.2.1 3.2.2 CVE-2025-1507
Resido サーバーサイドリクエストフォージェリ <= 3.6 3.6.1 CVE-2025-1285
VidoRev Extensions Missing Authorization to Unauthenticated Youtube Video Import vulnerability <= 2.9.9.9.9.9.5 2.9.9.9.9.9.6 CVE-2025-0955
Omnipress Authenticated (Contributor+) Post Disclosure vulnerability <= 1.5.4 1.5.5 CVE-2024-13407
Search Filter Pro Missing Authorization to Authenticated (Subscriber+) Post Meta Exposure vulnerability <= 2.5.19 2.5.20 CVE-2025-1528
IP Based Login クロスサイトリクエストフォージェリ < 2.4.1 2.4.1 CVE-2024-13118
zegen Missing Authorization to Authenticated (Subscriber+) Theme Options Updates <= 1.1.9 CVE-2025-2289
civi 認証回避 <= 2.1.6.1 2.1.6.3 CVE-2024-13772
ciyashop Unauthenticated PHP Object Injection <= 4.19.0 4.19.1 CVE-2024-13824
civi 認証回避 <= 2.1.4 CVE-2024-13771
wp-jobhunt 権限昇格 <= 7.1 CVE-2024-11285
ArielBrailovsky-ViralAd SQLインジェクション <= 1.0.8 N/A CVE-2025-2107
ReportAttacks SQLインジェクション <= 2.32 2.33 CVE-2025-2250
arielbrailovsky-viralad SQLインジェクション <= 1.0.8 CVE-2025-2106
all-in-one-wp-migration Unauthenticated PHP Object Injection <= 7.89 7.90 CVE-2024-10942
Simply Schedule Appointments Unauthenticated Arbitrary Shortcode Execution vulnerability <= 1.6.8.5 1.6.8.7 CVE-2025-1119
apppresser クロスサイトスクリプティング <= 4.4.10 4.4.11 CVE-2025-1561
WP Recipe Maker クロスサイトスクリプティング <= 9.8.0 9.8.1 CVE-2025-1503
CC-IMG-Shortcode クロスサイトスクリプティング <= 1.1.0 N/A CVE-2025-1559
binlayerpress クロスサイトスクリプティング <= 1.1 N/A CVE-2025-2076
Business Directory 安全でない直接オブジェクト参照 <= 6.4.14 6.4.15 CVE-2024-13887
PageLayer Missing Authorization to Authenticated (Contributor+) Post Publication vulnerability <= 1.9.8 2.0.0 CVE-2025-2104
CRM and Lead Management by vcita Missing Authorization to Authenticated (Susbcriber+) Widget Toggle vulnerability <= 2.7.1 N/A CVE-2024-13703
Download Manager パストラバーサル <= 3.3.08 3.3.09 CVE-2025-1785
review-schema ローカルファイルインクルージョン <= 2.2.4 2.2.5 CVE-2025-1707
Simple Amazon Affiliate クロスサイトスクリプティング <= 1.0.9 N/A CVE-2025-2077
MaxA/B クロスサイトスクリプティング <= 2.2.2 N/A CVE-2025-28933
Insert Code クロスサイトスクリプティング <= 2.4 N/A CVE-2025-28932
Hashtags クロスサイトスクリプティング <= 0.3.2 N/A CVE-2025-28931
ShopLentor クロスサイトスクリプティング <= 3.1.0 3.1.1 CVE-2025-1527
Finale Lite クロスサイトスクリプティング <= 2.19.0 2.20.0 CVE-2024-12589
List Mixcloud クロスサイトスクリプティング <= 1.4 N/A CVE-2025-28930
GDPR Cookie Compliance クロスサイトスクリプティング < 4.15.7 4.15.7 CVE-2025-1622
BlogBuzzTime for WP クロスサイトスクリプティング <= 1.1 N/A CVE-2025-2078
DP ALTerminator – Missing ALT manager クロスサイトスクリプティング <= 1.0.2 N/A CVE-2025-28943
Lava Ajax Search クロスサイトスクリプティング <= 1.1.9 N/A CVE-2025-28937
Lunar クロスサイトスクリプティング <= 1.3.0 N/A CVE-2025-28936
Uncanny Automator サーバーサイドリクエストフォージェリ <= 6.2 6.3 CVE-2024-13838
NEX-Forms – Ultimate Form Builder Unauthenticated Sensitive Information Exposure vulnerability <= 8.8.1 8.8.2 CVE-2024-13498
WP Crowdfunding Missing Authorization to Authenticated (Subscriber+) Post Content Download vulnerability <= 2.1.14 2.1.15 CVE-2025-1508
PageLayer Authenticated (Contributor+) Private Post Disclosure in pagelayer_builder_posts_shortcode vulnerability <= 1.9.8 1.9.9 CVE-2024-13430
Spam Byebye クロスサイトリクエストフォージェリ <= 2.2.4 N/A CVE-2025-28941
Back To Top クロスサイトリクエストフォージェリ <= 2.0 N/A CVE-2025-28940
WP Performance Pack アクセス制御の不備 <= 2.5.3 2.5.4 CVE-2025-28938
workreap 権限昇格 <= 3.2.5 3.2.6 CVE-2024-13446
Gtbabel Unauthenticated Admin Account Takeover vulnerability < 6.6.9 6.6.9 CVE-2024-11638
HUSKY ローカルファイルインクルージョン <= 1.3.6.5 1.3.6.6 CVE-2025-1661
WPCS Unauthenticated Arbitrary Shortcode Execution vulnerability <= 1.2.0.4 1.2.0.5 CVE-2025-2169
Appsero Helper クロスサイトスクリプティング <= 1.3.2 1.3.3 CVE-2024-13436
Contact Us By Lord Linus クロスサイトスクリプティング <= 2.6 N/A CVE-2025-1382
Email Keep クロスサイトスクリプティング <= 1.1 N/A CVE-2024-13825
Qubely Authenticated (Contributor+) Sensitive Information Exposure via qubely_get_content vulnerability <= 1.8.13 1.8.14 CVE-2024-13228
PageLayer クロスサイトリクエストフォージェリ <= 1.9.8 1.9.9 CVE-2025-1926
Email Keep クロスサイトリクエストフォージェリ <= 1.1 N/A CVE-2024-13826
Post Lockdown Missing Authorization to Authenticated (Subscriber+) Post Disclosure vulnerability <= 4.0.2 4.0.3 CVE-2025-1504
productdyno クロスサイトスクリプティング <= 1.0.24 1.0.25 CVE-2024-13413
Javo Core 権限昇格 <= 3.0.0.080 3.0.0.266 CVE-2025-0177
WP-Recall SQLインジェクション <= 16.26.10 16.26.12 CVE-2025-1323
VikRentCar クロスサイトリクエストフォージェリ <= 1.4.2 1.4.3 CVE-2024-11640
Aiomatic 任意ファイルアップロード <= 2.3.8 2.3.9 CVE-2024-13882
Product Input Fields for WooCommerce ファイルアップロード <= 1.12.0 1.12.1 CVE-2024-13359
miniOrange Social Login and Register Pro Addon 認証回避 <= 200.3.9 N/A CVE-2024-11087
SMTP by BestWebSoft 任意ファイルアップロード <= 1.1.9 1.2.0 CVE-2024-13908
Xpro Elementor Addons クロスサイトスクリプティング <= 1.4.6.7 1.4.6.8 CVE-2024-13649
Essential Blocks for Gutenberg クロスサイトスクリプティング <= 5.3.1 5.3.2 CVE-2025-1664
Gallery Styles クロスサイトスクリプティング <= 1.3.4 1.3.5 CVE-2025-1783
WP-Recall クロスサイトスクリプティング <= 16.26.10 16.26.12 CVE-2025-1324
The Plus Addons for Elementor Page Builder Lite クロスサイトスクリプティング <= 6.2.2 6.2.3 CVE-2025-1287
FooGallery クロスサイトスクリプティング <= 2.4.29 2.4.30 CVE-2024-12119
WP-Recall Missing Authorization to Authenticated (Subscriber+) Arbitrary Shortcode Exeuction vulnerability <= 16.26.10 16.26.12 CVE-2025-1325
RTMKit Addons for Elementor Missing Authorization in save_options and reset_widgets vulnerability <= 1.5.3 1.5.4 CVE-2024-10326
Aiomatic Missing Authorization to Authenticated (Subscriber+) Multiple Administrator Actions vulnerability <= 2.3.6 2.3.7 CVE-2024-13816
Download Manager 情報開示 <= 3.3.06 3.3.07 CVE-2024-13126
WP-Recall Authenticated (Contributor+) Protected Post Disclosure vulnerability <= 16.26.10 16.26.12 CVE-2025-1322
WidgetKit Authenticated (Contributor+) Sensitive Information Exposure via Elementor Templates vulnerability <= 2.5.4 N/A CVE-2024-10321
FooGallery 安全でない直接オブジェクト参照 <= 2.4.29 2.4.30 CVE-2024-12114
InWave Jobs 権限昇格 <= 3.5.1 N/A CVE-2025-1315
School Management SQLインジェクション <= 92.0.0 93.0.0 CVE-2024-12607
allow-php-execute コードインジェクション <= 1.0 CVE-2024-13890
post-meta-data-manager 権限昇格 <= 1.4.3 CVE-2024-13835
Reservit Hotel クロスサイトスクリプティング < 3.0 3.0 CVE-2024-9458
slingblocks クロスサイトスクリプティング <= 1.5.0 1.6.0 CVE-2024-13675
post-smtp SQLインジェクション <= 3.1.2 3.1.3 CVE-2024-13844
shortcode-cleaner-lite Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Export <= 1.0.9 CVE-2025-1481
years-since クロスサイトスクリプティング <= 1.4.1 CVE-2024-12460
code-snippets-cpt Authenticated (Subscriber+) Arbitrary Shortcode Execution <= 2.1.0 CVE-2024-13895
wish-list-for-woocommerce クロスサイトリクエストフォージェリ <= 3.1.7 3.1.8 CVE-2024-13774
ht-mega-for-elementor クロスサイトスクリプティング <= 2.8.2 2.8.3 CVE-2025-1261
woocommerce-delivery-notes Unauthenticated Sensitive Information Exposure Through Unprotected Directory <= 5.4.1 5.5.0 CVE-2024-13640
CS Framework 任意ファイル削除 <= 7.0 7.1 CVE-2024-12035
School Management 権限昇格 <= 93.0.0 N/A CVE-2024-9658
eventer SQLインジェクション <= 3.9.9.2 3.9.9.3 CVE-2025-0959
SEO SQLインジェクション <= 12.4.05 12.4.06 CVE-2025-1768
School Management SQLインジェクション <= 92.0.0 93.0.0 CVE-2024-12609
Hero Maps Premium SQLインジェクション <= 2.3.9 N/A CVE-2024-13781
flex-mag Missing Authorization to Authenticated (Subscriber+) Arbitrary Option Deletion <= 3.5.2 3.6.0 CVE-2024-13655
homey 認証回避 <= 2.4.3 2.4.4 CVE-2025-0749
CS Framework Authenticated (Subscriber+) Arbitrary File Read vulnerability <= 7.1 N/A CVE-2024-12036
Ultimate Video Player 任意ファイルダウンロード <= 10.0 10.1 CVE-2024-10804
woocommerce-multi-currency SQLインジェクション <= 2.3.6 2.3.7 CVE-2024-13320
Gallery Authenticated (Administrator+) PHP Object Injection vulnerability <= 4.7.3 4.7.4 CVE-2024-13906
Related Post クロスサイトスクリプティング 2.0.59 2.0.60 CVE-2024-12634
Simply Schedule Appointments クロスサイトスクリプティング <= 1.6.8.3 1.6.8.5 CVE-2024-13431
School Management クロスサイトスクリプティング <= 93.0.0 N/A CVE-2024-12611
Advanced File Manager クロスサイトスクリプティング <= 5.2.14 5.3.0 CVE-2024-13805
Flexmls® IDX クロスサイトスクリプティング <= 3.14.28 3.14.29 CVE-2025-0863
WPGetAPI サーバーサイドリクエストフォージェリ <= 2.2.10 2.25.1 CVE-2024-13857
Platform.ly for WooCommerce サーバーサイドリクエストフォージェリ <= 1.1.6 1.1.7 CVE-2024-13904
School Management Missing Authorization to Unauthenticated Arbitrary Post Deletion vulnerability <= 93.0.0 N/A CVE-2024-12610
VK Blocks Missing Authorization to Sensitive Information Exposure vulnerability <= 1.94.2.2 1.95.0.3 CVE-2024-13635
SupportCandy 安全でない直接オブジェクト参照 <= 3.3.0 3.3.1 CVE-2024-13552
eventprime-event-calendar-management Missing Authorization to Authenticated (Subscriber+) Event Attendees Export <= 4.0.7.3 4.0.7.4 CVE-2024-13526
wishlist クロスサイトスクリプティング <= 1.0.43 1.0.44 CVE-2024-12809
homey クロスサイトリクエストフォージェリ <= 2.4.3 2.4.4 CVE-2025-0748
golo 権限昇格 <= 1.6.10 1.6.11 CVE-2024-12876
wpcom-member 認証回避 <= 1.7.5 1.7.6 CVE-2025-1475
Moving Media Library ディレクトリトラバーサル <= 1.22 1.23 CVE-2024-13897
Notibar クロスサイトスクリプティング <= 2.1.5 2.1.6 CVE-2025-1672
Cookiebot Missing Authorization to Authenticated (Subscriber+) Survey Submission vulnerability <= 4.4.1 4.4.2 CVE-2025-1666
Podlove Podcast Publisher クロスサイトリクエストフォージェリ <= 4.2.2 4.2.3 CVE-2025-1383
WP Real Estate Manager 認証回避 <= 2.8 N/A CVE-2025-1515
Ultimate Member SQLインジェクション <= 2.10.0 2.10.1 CVE-2025-1702
WordPress Awesome Import & Export 権限昇格 <= 4.1.1 N/A CVE-2024-13232
WooMail SQLインジェクション <= 3.0.34 N/A CVE-2024-13747
Hero Slider SQLインジェクション <= 1.3.5 N/A CVE-2024-13809
WooCommerce Recover Abandoned Cart Unauthenticated PHP Object Injection vulnerability < 24.5.0 24.5.0 CVE-2025-0956
dzs-zoomsounds Unauthenticated PHP Object Injection <= 6.91 CVE-2024-13777
DesignThemes Core Features Missing Authorization to Unauthenticated Arbitrary File Read via dt_process_imported_file vulnerability <= 4.7 N/A CVE-2024-13471
Master Slider クロスサイトスクリプティング <= 3.10.7 3.10.8 CVE-2024-11731
Hero Mega Menu – Responsive WordPress Menu WordPress Hero Mega Menu – Responsive WordPress Menu Plugin plugin <= 1.16.5 – Missing Authorization to Authenticated (Subscriber+) Arbitrary Directory Deletion vulnerability <= 1.16.5 N/A CVE-2024-13780
Point Maker クロスサイトスクリプティング <= 0.1.6 N/A CVE-2024-12815
WP Online Contract Missing Authorization to Unauthenticated Settings Import vulnerability <= 5.1.4 N/A CVE-2025-0954
Content Control Unauthenticated Content Restriction Bypass to Sensitive Information Exposure vulnerability <= 2.5.0 2.6.0 CVE-2024-11153
Spreadsheet Integration – Automate Google Sheets With WordPress, WooCommerce & Most Popular Form クロスサイトリクエストフォージェリ <= 3.8.2 3.8.3 CVE-2025-1463
sparkling Missing Authorization to Unauthenticated Arbitrary Plugin Activation/Deactivation <= 2.4.9 2.4.10 CVE-2024-13423
staff-directory-pro クロスサイトスクリプティング <= 4.3 CVE-2024-13839
master-slider クロスサイトスクリプティング <= 3.10.6 CVE-2024-13757
listingo Unauthenticated Arbitrary Shortcode Execution <= 3.2.7 CVE-2024-13815
zass Missing Authorization to Authenticated (Subscriber+) Demo Import <= 3.9.9.10 CVE-2024-13810
lafka Missing Authorization to Authenticated (Subscriber+) Demo Import <= 4.5.7 CVE-2024-13811
simple-notification クロスサイトスクリプティング <= 1.3 CVE-2024-13866
gloria-assistant-by-webtronic-labs クロスサイトリクエストフォージェリ <= 1.1.4 CVE-2025-0990
recently-purchased-products-for-woo クロスサイトスクリプティング <= 1.1.3 1.1.4 CVE-2025-1008
razorpay-subscription-button-elementor クロスサイトスクリプティング <= 1.0.3 1.0.4 CVE-2024-13827
searchiq クロスサイトスクリプティング <= 4.7 4.8 CVE-2024-13350
bbpress クロスサイトリクエストフォージェリ <= 2.6.11 2.6.12 CVE-2025-1435
hmenu クロスサイトスクリプティング <= 1.16.5 CVE-2024-13779
homey 権限昇格 <= 2.4.2 2.4.3 CVE-2024-12281
homey-login-register 権限昇格 <= 2.4.0 CVE-2024-11951
veda Authenticated (Subscriber+) PHP Object Injection <= 4.2 CVE-2024-13787
PixelYourSite – Your smart PIXEL (TAG) Manager Unauthenticated PHP Object Injection vulnerability 10.1.1.1 10.1.1.2 CVE-2025-0769
GiveWP Unauthenticated PHP Object Injection vulnerability <= 3.19.4 3.20.0 CVE-2025-0912
Bitcoin / AltCoin Payment Gateway for WooCommerce SQLインジェクション <= 1.7.6 N/A CVE-2025-26535
Animation Addons for Elementor Pro Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation/Activation vulnerability <= 1.6 1.7 CVE-2025-1639
newscrunch クロスサイトリクエストフォージェリ <= 1.8.4 1.8.4.1 CVE-2025-1306
teachPress SQLインジェクション <= 9.0.7 9.0.8 CVE-2025-1321
WP Activity Log Authenticated (Admin+) PHP Object Injection vulnerability <= 5.3.2 5.3.3 CVE-2025-0767
FooGallery クロスサイトスクリプティング <= 2.4.29 2.4.30 CVE-2025-22624
Ultimate Auction Missing Authorization to Arbitrary Post Deletion vulnerability <= 4.2.9 4.3.0 CVE-2025-0958
SEO アクセス制御の不備 <= 12.4.07 12.4.08 CVE-2025-24654
Shortcodes Ultimate クロスサイトスクリプティング <= 7.3.3 7.3.4 CVE-2025-0370
Master Addons for Elementor クロスサイトスクリプティング <= 2.0.7.2 2.0.7.3 CVE-2024-9618
Master Addons for Elementor クロスサイトスクリプティング <= 2.0.7.1 2.0.7.2 CVE-2025-0433
Simple Download Counter Authenticated (Author+) Arbitrary File Read vulnerability <= 2.0 2.1 CVE-2025-1730
WP Posts Carousel クロスサイトスクリプティング <= 1.3.7 1.3.8 CVE-2025-1491
Wallet System for WooCommerce クロスサイトリクエストフォージェリ <= 2.6.2 2.6.3 CVE-2024-13682
Wallet System for WooCommerce Missing Authorization vulnerability <= 2.6.2 2.6.3 CVE-2024-13724
revenueflex-easy-ads Missing Authorization to Authenticated (Editor+) Settings Update <= 1.5 1.5.1 CVE-2025-27296
search-with-typesense パストラバーサル <= 2.0.8 2.0.9 CVE-2025-26876
gpx-viewer パストラバーサル <= 2.2.11 2.2.12 CVE-2025-27274
structured-content クロスサイトスクリプティング <= 1.6.3 1.6.4 CVE-2025-0512
vw-storefront Missing Authorization to Authenticated (Subscriber+) Settings Reset <= 0.9.9 1.0.0 CVE-2024-13686
zigaform-form-builder-lite クロスサイトスクリプティング <= 7.4.2 7.4.3 CVE-2025-26989
gsheetconnector-easy-digital-downloads クロスサイトリクエストフォージェリ < 1.4 1.4 CVE-2023-2334
memberspace クロスサイトスクリプティング <= 2.1.13 2.1.14 CVE-2024-13727
newscrunch 任意ファイルアップロード <= 1.8.4 1.8.4.1 CVE-2025-1307
fresh-framework リモートコード実行 <= 1.70.0 CVE-2025-26936
private-content 権限昇格 <= 8.11.5 CVE-2025-26966
ark-core リモートコード実行 <= 1.70.0 CVE-2025-26970
majestic-support ローカルファイルインクルージョン <= 1.0.6 1.0.7 CVE-2025-26985
funnel-builder ローカルファイルインクルージョン <= 3.9.0 3.9.1 CVE-2025-26979
pearl ローカルファイルインクルージョン < 3.4.8 3.4.8 CVE-2025-26986
wc-place-order-without-payment ローカルファイルインクルージョン <= 2.6.7 2.6.8 CVE-2025-26933
helloprint 任意ファイル削除 <= 2.0.7 2.1.0 CVE-2025-26534
flexmls-idx Unauthenticated PHP Object Injection <= 3.14.27 3.14.28 CVE-2025-26900
ssquiz Unauthenticated PHP Object Injection <= 2.0.5 CVE-2025-27287
residential-address-detection Unauthenticated Arbitrary Options Update <= 2.5.4 2.5.5 CVE-2025-27270
Academist Membership 認証回避 <= 1.1.6 1.2 CVE-2025-1671
Alloggio Membership 認証回避 <= 1.1 1.2 CVE-2025-1638
SetSail Membership 認証回避 <= 1.0.3 1.1 CVE-2025-1564
surveyjs 任意ファイル削除 <= 1.12.17 1.12.18 CVE-2024-12544
Multilevel Referral Affiliate SQLインジェクション <= 2.27 N/A CVE-2024-13750
exertio-framework Unauthenticated Arbitrary User Password Update <= 1.3.1 1.3.2 CVE-2024-13373
bp-better-messages Unauthenticated Sensitive Information Exposure Through Unprotected Directory <= 2.6.9 2.7.0 CVE-2024-13611
fluent-support Unauthenticated Sensitive Information Exposure Through Unprotected Directory <= 1.8.5 1.8.6 CVE-2024-13568
new-album-gallery Authenticated (Editor+) PHP Object Injection via Gallery Meta <= 1.6.3 1.6.4 CVE-2024-13833
database-backup 任意ファイル削除 <= 2.36 2.37 CVE-2024-13910
database-backup Authenticated (Administrator+) Sensitive Information Exposure <= 2.35 2.36 CVE-2024-13911
Currency Switcher for WooCommerce クロスサイトスクリプティング <= 2.16.2 2.16.3 CVE-2024-9217
Gutenberg Blocks by Kadence Blocks クロスサイトスクリプティング <= 3.4.9 3.4.10 CVE-2025-1291
Authors List Unauthenticated Arbitrary Shortcode Execution vulnerability <= 2.0.6 2.0.6.1 CVE-2024-13806
Page Builder by SiteOrigin クロスサイトスクリプティング <= 2.31.4 2.31.5 CVE-2025-1459
Counter Box クロスサイトスクリプティング <= 2.0.6 2.0.7 CVE-2024-13901
Secure Copy Content Protection and Content Locking Missing Authorization to Unauthenticated User Email Retrieval via ays_sccp_reports_user_search Function vulnerability <= 4.4.7 4.4.8 CVE-2025-1404
IP2Location Redirection Missing Authorization to Unauthenticated Settings Export vulnerability <= 1.33.3 1.33.4 CVE-2025-1502
BP Better Messages サーバーサイドリクエストフォージェリ <= 2.7.4 2.7.5 CVE-2024-13697
GenerateBlocks Authenticated (Contributor+) Sensitive Information Exposure via 'get_image_description' vulnerability <= 1.9.1 2.0.0 CVE-2024-13546
templatesnext-toolkit クロスサイトスクリプティング <= 3.2.9 CVE-2024-13559
sku-for-woocommerce クロスサイトスクリプティング <= 1.6.2 1.6.3 CVE-2024-9212
clicface-trombi クロスサイトスクリプティング <= 2.08 CVE-2025-0820
simplepress クロスサイトリクエストフォージェリ <= 6.10.11 CVE-2024-13518
booking-calendar-and-notification Missing Authorization via wpcb_all_bookings, wpcb_update_booking_post, and wpcb_delete_posts Functions <= 4.0.3 CVE-2024-13746
wc4bp クロスサイトリクエストフォージェリ <= 3.4.25 3.4.26 CVE-2025-1780
wc4bp Missing Authorization to Authenticated (Subscriber+) Limited Settings Update <= 3.4.24 3.4.25 CVE-2024-13358
nokri Unauthenticated Arbitrary Password Change <= 1.6.2 1.6.3 CVE-2024-12824
Instant Appointment 任意ファイルアップロード <= 1.2 N/A
instant-appointment 任意ファイルアップロード <= 1.2
snow-storm クロスサイトスクリプティング <= 1.4.6 1.4.7
portfolio-and-projects クロスサイトスクリプティング <= 1.5.3
solace-extra 任意ファイルアップロード <= 1.3.0 1.3.1
greek-multi-tool クロスサイトスクリプティング <= 2.3.1 2.3.2
Greek Multi Tool – Fix peralinks, accents, auto create menus and more クロスサイトスクリプティング <= 2.3.1 2.3.2

テーマ

名称 脆弱性の種類 対象ver. パッチ済ver. 重要度 CVE ID
Churel クロスサイトスクリプティング <= 1.0.8 N/A CVE-2025-31419
MinimogWP Unauthenticated Local PHP File Inclusion vulnerability <= 3.7.0 3.8.0 CVE-2024-13790
CozyStay PHP Object Injection vulnerability <= 1.7.0 1.7.1 CVE-2024-13410
Altair Unauthenticated Arbitrary Options Update via pp_import_current vulnerability <= 5.2.4 5.2.5 CVE-2024-12922
CozyStay Missing Authorization to Arbitrary Action Execution in ajax_handler vulnerability <= 1.7.0 1.7.1 CVE-2024-13412
Civi 認証回避 <= 2.1.4 N/A CVE-2024-13771
JobCareer Missing Authorization to Authenticated (Subscriber+) Multiple Administrative Actions vulnerability <= 7.1 N/A CVE-2024-12810
Traveler ローカルファイルインクルージョン <= 3.1.8 3.1.9 CVE-2025-1771
Civi Sensitive Information Exposure vulnerability <= 2.1.4 N/A CVE-2024-13773
Traveler クロスサイトスクリプティング <= 3.1.8 3.1.9 CVE-2025-1773
Eco Nature WordPress Eco Nature – Environment & Ecology WordPress theme <= 2.0.4 – Missing Authorization to Authenticated (Subscriber+) Limited Options Update vulnerability <= 2.0.4 2.1.0 CVE-2025-0952
Civi 認証回避 <= 2.1.4 N/A CVE-2024-13772
Industrial Missing Authorization to Authenticated (Subscriber+) Arbitrary Options Update vulnerability <= 1.7.8 1.7.9 CVE-2024-13376
Design Comuni Italia クロスサイトスクリプティング <= 1.1.1 1.1.2 CVE-2025-1798
Zegen Missing Authorization to Authenticated (Subscriber+) Theme Options Updates vulnerability <= 1.1.9 N/A CVE-2025-2289
Workreap (theme's plugin) 権限昇格 <= 3.2.5 3.2.6 CVE-2024-13446
Golo 権限昇格 <= 1.6.10 1.6.11 CVE-2024-12876
Homey 権限昇格 <= 2.4.2 N/A CVE-2024-12281
VEDA Authenticated (Subscriber+) PHP Object Injection vulnerability <= 4.2 N/A CVE-2024-13787
Listingo Unauthenticated Arbitrary Shortcode Execution vulnerability <= 3.2.7 N/A CVE-2024-13815
Zass Missing Authorization to Authenticated (Subscriber+) Demo Import vulnerability <= 3.9.9.10 N/A CVE-2024-13810
Lafka Missing Authorization to Authenticated (Subscriber+) Demo Import vulnerability <= 4.5.7 N/A CVE-2024-13811
Sparkling Missing Authorization to Unauthenticated Arbitrary Plugin Activation/Deactivation vulnerability <= 2.4.9 N/A CVE-2024-13423
JNews Unauthorized User Registration vulnerability <= 11.6.6 11.6.7 CVE-2024-8682
Newscrunch 任意ファイルアップロード <= 1.8.4 1.8.4.1 CVE-2025-1307
Newscrunch クロスサイトリクエストフォージェリ <= 1.8.4 1.8.4.1 CVE-2025-1306
VW Storefront Missing Authorization to Authenticated (Subscriber+) Settings Reset vulnerability <= 0.9.9 1.0.0 CVE-2024-13686
Nokri Unauthenticated Arbitrary Password Change vulnerability <= 1.6.2 1.6.3 CVE-2024-12824

対応方法

  • パッチが提供されたバージョンはアップデートしましょう。
  • 特に重要度が高のものは確実にアップデートしておきましょう。

カテゴリ:
タグ:

WordPress × 0つまで
お問い合わせ
お申し込み