Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WordPress」向けBestWebSoft製プラグイン51種にXSSの脆弱性

コンテンツマネジメントシステム「WordPress」向けにBestWebSoftが提供する51種類のプラグインに脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、同社製プラグインが利用する共通のメニュー表示にクロスサイトスクリプティング(XSS)の脆弱性「CVE-2017-2171」が含まれていることが判明したもの。ログインした状態のブラウザ上で任意のスクリプトが実行されるおそれがある。

同脆弱性は、クリスリュウ氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。影響を受けるのは以下の製品で、アップデートが提供されている。

Captcha
Car Rental
Contact Form Multi
Contact Form
Contact Form to DB
Custom Admin Page
Custom Fields Search
Custom Search
Donate
Email Queue
Error Log Viewer
Facebook Button
Featured Posts
Gallery Categories
Gallery
Google +1
Google AdSense
Google Analytics
Google Captcha (reCAPTCHA)
Google Maps
Google Shortlink
Google Sitemap
Htaccess
Job Board
Latest Posts
Limit Attempts
LinkedIn
Multilanguage
PDF & Print
Pagination
Pinterest
Popular Posts
Portfolio
Post to CSV
Profile Extra
PromoBar
Quotes and Tips
Re-attacher
Realty
Relevant - Related Posts
Sender
SMTP
Social Buttons Pack
Subscriber
Testimonials
Timesheet
Twitter Button
Updater
User Role
Visitors Online
Zendesk Help Center

(Security NEXT - 2017/05/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
CMSの「Zenphoto」にコード実行の脆弱性 - 最新版で修正
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
Windows版LINEにリンクでDLL読込パスを指定できる脆弱性 - すでに修正済み
スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性
NICT、脆弱性管理プラットフォーム「NIRVANA改弐」を発表