WordPress向けデータインポート用プラグインに2件の脆弱性
WordPress向けに提供されているプラグイン「WP All Import」に2件の脆弱性が含まれていることが判明した。
同プラグインは、CSVやXML形式のデータをインポートする機能を提供するプラグイン。同プラグインには、クロスサイトスクリプティング(XSS)の脆弱性「CVE-2018-0546」「CVE-2018-0547」が含まれるという。
「CVE-2018-0547」は、サイト上にログインしたユーザーが影響を受けるが、「CVE-2018-0546」に関してはログインすることなく、ブラウザ上でスクリプトを実行されるおそれがあるという。
「CVE-2018-0546」は、ゲヒルンのマルダンムイデン氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整。「同3.4.6」で修正された。一方、「CVE-2018-0547」はNTTコミュニケーションズの東内裕二が氏報告。修正版となる「同3.4.7」がリリースされている。
(Security NEXT - 2018/03/08 )
ツイート
関連リンク
PR
関連記事
WooCommerce向け2FAプラグインに脆弱性 - 認証回避のおそれ
キヤノン製スモールオフィス向け複合機に複数の深刻な脆弱性
「OpenStack」の認証ミドルウェアに脆弱性 - 権限昇格やなりすましのおそれ
「ConnectWise PSA」にXSSなど複数脆弱性 - 修正版が公開
コンテナ管理ツール「Arcane」にRCE脆弱性 - 最新版で問題機能を削除
「Apache bRPC」に深刻なRCE脆弱性 - アップデートやパッチ適用を
「MS Edge」にアップデート、脆弱性11件を解消 - 独自修正も
Google、「Chrome 144」をリリース - 脆弱性10件を解消
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
