WordPress向けクイズプラグインに3件の脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Quiz And Survey Master」に複数の脆弱性が含まれていることが明らかとなった。
同ソフトは、クイズやアンケートなどの機能をCMSに追加できるExpressTech製のプラグイン。脆弱性情報のポータルサイトであるJVNによれば、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-0181」「CVE-2022-0182」や「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性「CVE-2022-0180」が明らかとなったもの。
共通脆弱性評価システム「CVSSv3.0」における脆弱性のベーススコアを見ると、今回明らかとなった脆弱性においてもっともスコアが高い「CVE-2022-0181」が「6.1」となっており、「CVE-2022-0182」が「5.4」、「CVE-2022-0180」が「4.3」と評価されている。
「CVE-2022-0180」「CVE-2022-0181」については末吉大輝氏、「CVE-2022-0182」は三井物産セキュアディレクションの荒牧努氏が情報処理推進機構(IPA)へ報告し、JPCERTコーディネーションセンターが調整を実施した。
開発者は、これら3件の脆弱性やバグの修正、機能強化などを行った「同7.3.7」を2021年12月27日にリリースしており、アップデートが呼びかけられている。
(Security NEXT - 2022/01/12 )
ツイート
PR
関連記事
医療機関向けの補助金案内メールで誤送信 - 大阪市
「映像のまち・かわさき」関連サイトで障害 - 攻撃受けた可能性
行政文書の個人情報、墨塗りせず交付 - 神奈川県
患者情報含むUSBメモリを一時紛失 - 関西医科大病院
予約管理システムが侵害、個人情報が流出 - アソビュー
県立高でサポート詐欺被害、端末内部に個人情報 - 島根県
「WooCommerce」旧版にRCE脆弱性 - 実証コードも
「Node.js」に12件の脆弱性 - 修正版を公開
先週注目された記事(2026年6月14日〜2026年6月20日)
学生向けのイベント当選通知でメール誤送信 - 兵庫県立大
