Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP向けプラグイン「Modern Events Calendar Lite」に脆弱性 - 修正されるもWordPress.orgでの提供は中止に

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供している「Modern Events Calendar Lite」に脆弱性が明らかとなった。修正版はリリースされているが、WordPressの公式ディレクトリでの公開は中止されており、開発者のサイトより入手する必要がある。

同プラグインは、「WordPress」においてカレンダーの表示機能を提供するWebnus製のソフトウェア。脆弱性情報のポータルサイトであるJVNによれば、格納型の「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-30533」が明らかとなったもの。

脆弱性を悪用されると利用者のブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.4」。

同脆弱性は、三井物産セキュアディレクションの荒牧努氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。

同脆弱性は「同6.3.0」以降で修正されており、5月11日時点の最新版は「同6.5.6」となるが、WordPress.orgにおける公開は同日より中止されており、今後の公開予定もないという。最新版を入手するには、開発者から入手する必要がある。

(Security NEXT - 2022/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

「SonicOS」脆弱性、悪用の可能性 - 「SSL VPN」経由で攻撃のおそれも
デイサービス利用者の個人情報含むUSBメモリが所在不明に - 練馬区
複数サーバでランサム被害、取引先にも影響 - 白崎コーポレーション
分析ツール「Kibana」に2件の「クリティカル」脆弱性
8割超のランサム攻撃がVPNやRDP経由 - 警察庁が注意喚起
日産のカーシェアで不正ログイン - 車両の不正利用が発生
先週注目された記事(2024年9月1日〜2024年9月7日)
「Webmin」にループDoS攻撃受ける脆弱性 - 最新版に更新を
ロードバランサー「LoadMaster」にCVSS最高値の脆弱性
WP向け人気キャッシュプラグインに深刻な脆弱性 - 8月に続き再度修正