Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WordPress Popular Posts」にXSSの脆弱性 - コードインジェクションのおそれも

コンテンツマネジメントシステム(CMS)である「WordPress」向けに提供されているプラグイン「WordPress Popular Posts」に脆弱性が含まれていることがわかった。

同プラグインは、CMS内で人気があるコンテンツを表示することが可能となるプラグイン。「同5.3.2」および以前のバージョンにクロスサイトスクリプティング(XSS)の脆弱性「CVE-2021-20746」が明らかとなったもの。

脆弱性の悪用には、少なくとも投稿者としてログインする権限が必要となるが、悪用されると管理者がブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.0」のスコアは「5.4」とレーティングされている。

同脆弱性は、セキュアスカイ・テクノロジーの岩間湧氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を実施。開発者は、6月4日に脆弱性を修正した「同5.3.3」をリリース。同アップデートでは潜在的なコードインジェクションの脆弱性についてもあわせて修正したほか、バグの修正なども実施しており、利用者へアップデートを呼びかけている。

(Security NEXT - 2021/06/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

「XenServer 8.4」に脆弱性 - アップデートをリリース
APIゲートウェイ「Apache APISIX」に認証回避おそれ
「Apache Seata」脆弱性、対象版に誤り - 一部で「クリティカル」との評価も
ITインフラ監視ツール「Pandora FMS」に脆弱性 - アップデートで修正
「Active! mail 6」に「XSS」や「CSRF」脆弱性 - 修正版へ更新を
「PHP」に複数脆弱性 - セキュリティリリースが公開
ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4攻撃」
「Chromium」の脆弱性狙う攻撃 - 派生ブラウザ利用者も注意を
「Lucee」にクリティカル脆弱性 - 悪用コード公開済み
「MS Edge」にアップデート - ゼロデイ脆弱性などに対応