「WordPress」向けテーブル生成プラグインに脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「TablePress」において権限の昇格が生じるおそれがある脆弱性が含まれていることがわかった。

脆弱性情報のポータルサイトであるJVNによれば、テーブルを製性する機能を提供する同プラグインにXML外部実体参照（XXE）処理の脆弱性「CVE-2017-10889」が存在することが明らかになったもの。

同脆弱性により、同プラグインを導入している「WordPress」において「投稿者」以上の権限を持つユーザーが、サーバ上の任意のファイルへアクセスすることが可能になるという。

今回の脆弱性は、NTTコミュニケーションズの東内裕二氏が、情報処理推進機構（IPA）へ報告したもので、JPCERTコーディネーションセンターが調整を実施。同プラグインの開発者は、脆弱性を解消した「同1.8.1」を公開している。

（Security NEXT - 2017/11/14 ） ツイート

PR

関連記事

脆弱性狙われる「BIG-IP APM」、国内で利用あり - 侵害調査など対応を
「F5 BIG-IP APM」脆弱性の悪用が発生 - 当初発表より深刻なリスク
「OpenBao」に認証関連で複数のクリティカル脆弱性
「Roundcube」にセキュリティアップデート - 更新を強く推奨
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
シャープ製複数ルータに認証欠如の脆弱性 - 初期PW推測のおそれ
「macOS Tahoe 26.4」を提供開始 - 脆弱性77件に対処