WP向けプラグイン「Contact Form 7 Datepicker」に脆弱性 - 更新予定なく削除を

WordPress向けに提供されているプラグイン「Contact Form 7 Datepicker」に脆弱性が判明した。アップデートはリリースされていない。

同プラグインは、WordPress向けに提供されているフォームプラグイン「Contact Form 7」に対して、カレンダーを用いた日付入力機能を追加できるプラグイン。10万件以上のインストール実績がある。

同プラグインに格納型クロスサイトスクリプティング（XSS）の脆弱性「CVE-2020-11516」が明らかとなった。脆弱性を指摘したDefiantは共通脆弱性評価システム「CVSSv3」のベーススコアを「7.4」とレーティングしている。

Defiantが、同プラグインの開発者と連絡を取ったところ、メンテナンスの予定はないとの返事を得たとしており、利用者へ同プラグインを削除し、代替プラグインを利用するよう呼びかけている。

なおプラグイン「Contact Form 7」そのものは、今回明らかとなった脆弱性の影響を受けない。

（Security NEXT - 2020/04/14 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「V8」の脆弱性を解消
「IBM AIX」のNIM関連機能に深刻な脆弱性 - アップデートで修正
米当局、「FortiWeb」の脆弱性悪用に注意喚起
「FortiWeb」に深刻な脆弱性 - すでに攻撃も
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性
Apple、脆弱性を修正した「iOS 18.7.2」「iPadOS 18.7.2」を公開
「Django」にSQLiやDoS脆弱性 - 修正版をリリース
「Dell Data Lakehouse」が脆弱性145件を修正 - 深刻な脆弱性も
マルウェア対策製品「Avast」「AVG」に深刻な脆弱性
DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も