「WordPress」向けBestWebSoft製プラグイン51種にXSSの脆弱性
コンテンツマネジメントシステム「WordPress」向けにBestWebSoftが提供する51種類のプラグインに脆弱性が含まれていることがわかった。
脆弱性情報のポータルサイトであるJVNによれば、同社製プラグインが利用する共通のメニュー表示にクロスサイトスクリプティング(XSS)の脆弱性「CVE-2017-2171」が含まれていることが判明したもの。ログインした状態のブラウザ上で任意のスクリプトが実行されるおそれがある。
同脆弱性は、クリスリュウ氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。影響を受けるのは以下の製品で、アップデートが提供されている。
Captcha
Car Rental
Contact Form Multi
Contact Form
Contact Form to DB
Custom Admin Page
Custom Fields Search
Custom Search
Donate
Email Queue
Error Log Viewer
Facebook Button
Featured Posts
Gallery Categories
Gallery
Google +1
Google AdSense
Google Analytics
Google Captcha (reCAPTCHA)
Google Maps
Google Shortlink
Google Sitemap
Htaccess
Job Board
Latest Posts
Limit Attempts
LinkedIn
Multilanguage
PDF & Print
Pagination
Pinterest
Popular Posts
Portfolio
Post to CSV
Profile Extra
PromoBar
Quotes and Tips
Re-attacher
Realty
Relevant - Related Posts
Sender
SMTP
Social Buttons Pack
Subscriber
Testimonials
Timesheet
Twitter Button
Updater
User Role
Visitors Online
Zendesk Help Center
(Security NEXT - 2017/05/16 )
ツイート
PR
関連記事
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
Google、「Chrome 145」をリリース - 複数脆弱性を修正
Apple、「macOS」向けにセキュリティアップデートを公開
「iOS/iPadOS 26.3」を公開 - ゼロデイ含む複数脆弱性を解消
「Apache Druid」に認証回避の深刻な脆弱性 - アップデート実施を
管理基盤「JetBrains Hub」に認証回避の深刻な脆弱性
SAP、セキュリティアドバイザリ26件を新規公開 - 「クリティカル」も
米当局、MS関連のゼロデイ脆弱性6件を悪用リストに追加
