Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WordPress向けクイズプラグインに3件の脆弱性

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Quiz And Survey Master」に複数の脆弱性が含まれていることが明らかとなった。

同ソフトは、クイズやアンケートなどの機能をCMSに追加できるExpressTech製のプラグイン。脆弱性情報のポータルサイトであるJVNによれば、「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-0181」「CVE-2022-0182」や「クロスサイトリクエストフォージェリ(CSRF)」の脆弱性「CVE-2022-0180」が明らかとなったもの。

共通脆弱性評価システム「CVSSv3.0」における脆弱性のベーススコアを見ると、今回明らかとなった脆弱性においてもっともスコアが高い「CVE-2022-0181」が「6.1」となっており、「CVE-2022-0182」が「5.4」、「CVE-2022-0180」が「4.3」と評価されている。

「CVE-2022-0180」「CVE-2022-0181」については末吉大輝氏、「CVE-2022-0182」は三井物産セキュアディレクションの荒牧努氏が情報処理推進機構(IPA)へ報告し、JPCERTコーディネーションセンターが調整を実施した。

開発者は、これら3件の脆弱性やバグの修正、機能強化などを行った「同7.3.7」を2021年12月27日にリリースしており、アップデートが呼びかけられている。

(Security NEXT - 2022/01/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

住基ネットの個人情報漏洩で職員を懲戒免職 - 杉並区
案内メールを「CC」送信、メアド流出 - 福島市スポーツ振興公社
調査受注者が貸与された個人情報含む資料を紛失 - 国交省
情セ大、「情報セキュリティ文化賞」の受賞者4名を発表
尼崎市、スマホ紛失の虚偽報告で懲戒処分 - 「USB紛失事案が頭をよぎり」
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
委託先にサイバー攻撃、顧客などへ脅迫メール届く - 北関東マツダ
様式と誤って個人情報含むファイルをメール送信 - 嘉手納町
調達業務の見積依頼で、受信者間にメアド流出 - 日本国際協力システム