WP向けプラグイン「Contact Form 7 Datepicker」に脆弱性 - 更新予定なく削除を

WordPress向けに提供されているプラグイン「Contact Form 7 Datepicker」に脆弱性が判明した。アップデートはリリースされていない。

同プラグインは、WordPress向けに提供されているフォームプラグイン「Contact Form 7」に対して、カレンダーを用いた日付入力機能を追加できるプラグイン。10万件以上のインストール実績がある。

同プラグインに格納型クロスサイトスクリプティング（XSS）の脆弱性「CVE-2020-11516」が明らかとなった。脆弱性を指摘したDefiantは共通脆弱性評価システム「CVSSv3」のベーススコアを「7.4」とレーティングしている。

Defiantが、同プラグインの開発者と連絡を取ったところ、メンテナンスの予定はないとの返事を得たとしており、利用者へ同プラグインを削除し、代替プラグインを利用するよう呼びかけている。

なおプラグイン「Contact Form 7」そのものは、今回明らかとなった脆弱性の影響を受けない。

（Security NEXT - 2020/04/14 ） ツイート

PR

関連記事

複数言語向けの「HTMサニタイザ」に脆弱性 - XSSのおそれ
Adobeの画像や動画編集ソフトなど14製品に深刻な脆弱性
「Go」のWASMにバッファオーバーフローのおそれ
Apple、「macOS」や「iOS」の脆弱性を修正 - 詳細は近日公開
法人向けエンドポイント製品にサービス拒否の脆弱性 - トレンド
脆弱性を修正した「PHP 7.4.25」がリリース
オープンソースのフォーラムソフト「Discourse」に深刻な脆弱性
「PHP 8.0.12」がリリース、権限昇格の脆弱性など修正
「VMware vRealize Operations Tenant App」に情報漏洩の脆弱性
「Movable Type 4」以降に深刻な脆弱性 - アップデートや回避策の実施を