Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP用ユーザー管理プラグインに脆弱性 - サイト管理者権限奪われるおそれ

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Ultimate Member」に深刻な脆弱性が判明した。

同プラグインは、ユーザー登録や管理機能を強化するソフトウェア。「同2.1.11」および以前のバージョンに脆弱性が明らかとなったもの。11月9日の段階でCVE番号は採番されていない。

ユーザー登録フォームに問題があり、権限の昇格が可能で、脆弱性を悪用されるとウェブサイトの管理者権限を奪われるおそれがあるという。

同脆弱性を発見、開発者へ報告したDEFIANTは、容易に悪用が可能であると危険性を指摘。共通脆弱性評価システム「CVSSv3」において、最高値である「10」と評価している。

開発者は、10月29日に修正版となる「同2.1.12」をリリース。DEFIANTではアップデートのリリースから約2週間を経て、同脆弱性の詳細について公表している。

(Security NEXT - 2020/11/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か
「Apache Tomcat」に複数脆弱性 - 2月のアップデートで修正済み
「Chrome 89」が公開、セキュリティ関連で修正47件 - ゼロデイ脆弱性にも対応
「Microsoft Exchange Server」に定例外パッチ - ゼロデイ攻撃が発生
「Cisco NX-OS」に6件の脆弱性 - 重要度「クリティカル」も
「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も
Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
「Cisco Application Services Engine」などに深刻な脆弱性
「Movable Type」にXSSの脆弱性 - アップデートが公開