Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WordPress」向けテーブル生成プラグインに脆弱性

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「TablePress」において権限の昇格が生じるおそれがある脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、テーブルを製性する機能を提供する同プラグインにXML外部実体参照(XXE)処理の脆弱性「CVE-2017-10889」が存在することが明らかになったもの。

同脆弱性により、同プラグインを導入している「WordPress」において「投稿者」以上の権限を持つユーザーが、サーバ上の任意のファイルへアクセスすることが可能になるという。

今回の脆弱性は、NTTコミュニケーションズの東内裕二氏が、情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。同プラグインの開発者は、脆弱性を解消した「同1.8.1」を公開している。

(Security NEXT - 2017/11/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

Google、「Chrome 106」をリリース - セキュリティ関連で20件の修正
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
XMLパーサーのライブラリ「libexpat」に深刻な脆弱性
Forcepoint DLPにXXE脆弱性 - 複数製品に影響
開発言語「Go」に複数の脆弱性 - アップデートで修正
「Apache Calcite」の一部演算子処理に深刻な脆弱性
Sophos製ファイアウォールに深刻な脆弱性 - すでにゼロデイ攻撃も
DNSサーバ「BIND」に6件の脆弱性 - アップデートがリリース
Windows端末の管理ツールにゼロデイ脆弱性 - 定例外アップデートが公開
Mozilla、「Firefox 105」をリリース - 複数脆弱性を修正