「WordPress」向けBestWebSoft製プラグイン51種にXSSの脆弱性
コンテンツマネジメントシステム「WordPress」向けにBestWebSoftが提供する51種類のプラグインに脆弱性が含まれていることがわかった。
脆弱性情報のポータルサイトであるJVNによれば、同社製プラグインが利用する共通のメニュー表示にクロスサイトスクリプティング(XSS)の脆弱性「CVE-2017-2171」が含まれていることが判明したもの。ログインした状態のブラウザ上で任意のスクリプトが実行されるおそれがある。
同脆弱性は、クリスリュウ氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施した。影響を受けるのは以下の製品で、アップデートが提供されている。
Captcha
Car Rental
Contact Form Multi
Contact Form
Contact Form to DB
Custom Admin Page
Custom Fields Search
Custom Search
Donate
Email Queue
Error Log Viewer
Facebook Button
Featured Posts
Gallery Categories
Gallery
Google +1
Google AdSense
Google Analytics
Google Captcha (reCAPTCHA)
Google Maps
Google Shortlink
Google Sitemap
Htaccess
Job Board
Latest Posts
Limit Attempts
LinkedIn
Multilanguage
PDF & Print
Pagination
Pinterest
Popular Posts
Portfolio
Post to CSV
Profile Extra
PromoBar
Quotes and Tips
Re-attacher
Realty
Relevant - Related Posts
Sender
SMTP
Social Buttons Pack
Subscriber
Testimonials
Timesheet
Twitter Button
Updater
User Role
Visitors Online
Zendesk Help Center
(Security NEXT - 2017/05/16 )
ツイート
PR
関連記事
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
「LangChain」に深刻な脆弱性 - APIキー流出のおそれ
Fortraの特権アクセス管理製品「BoKS」に脆弱性 - アップデートで修正
NVIDIAのロボティクス基盤「Isaac Launchable」に深刻な脆弱性
「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ
DigiEver製NVRの脆弱性悪用に注意 - 米CISAが警告
「n8n」に深刻なRCE脆弱性 - 乗っ取りや情報漏洩など広く影響
