グラフや表を作成のWP向けプラグインに深刻な脆弱性

コンテンツマネジメントシステム（CMS）である「WordPress」向けに提供されているプラグイン「wpDataTables」にリモートよりコードを実行される深刻な脆弱性が明らかとなった。

同プラグインは、表やグラフなどの表示が可能となるソフトウェア。「同3.4」および以前のバージョンに「SQLインジェクション」の脆弱性「CVE-2021-26754」が存在。認証なしに悪用されるおそれがあり、WordPressの管理者権限を奪取され、コードを実行されるおそれがある。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

2月2日にリリースされた「同3.4.1」で脆弱性は修正された。アップデートのリリースを受けて、脆弱性を発見、報告したセキュリティ研究者より脆弱性の詳細が公開されており、注意が必要。

（Security NEXT - 2021/02/16 ） ツイート

PR

関連記事

Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
セキュリティアップデート「Firefox 147.0.2」が公開
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「Chrome」にアップデート - 実装不備の脆弱性1件を修正
Atlassian、前月のアップデートで脆弱性のべ34件に対処
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を