Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP向けプラグイン「Modern Events Calendar Lite」に脆弱性 - 修正されるもWordPress.orgでの提供は中止に

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供している「Modern Events Calendar Lite」に脆弱性が明らかとなった。修正版はリリースされているが、WordPressの公式ディレクトリでの公開は中止されており、開発者のサイトより入手する必要がある。

同プラグインは、「WordPress」においてカレンダーの表示機能を提供するWebnus製のソフトウェア。脆弱性情報のポータルサイトであるJVNによれば、格納型の「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-30533」が明らかとなったもの。

脆弱性を悪用されると利用者のブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.4」。

同脆弱性は、三井物産セキュアディレクションの荒牧努氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。

同脆弱性は「同6.3.0」以降で修正されており、5月11日時点の最新版は「同6.5.6」となるが、WordPress.orgにおける公開は同日より中止されており、今後の公開予定もないという。最新版を入手するには、開発者から入手する必要がある。

(Security NEXT - 2022/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を
学生の個人情報が閲覧可能に、フォームの設定ミスで - 近畿大
eモータースポーツ公式アカウントの乗っ取りで個人情報流出の可能性
メールアドレスでスペルミス、異なる宛先に誤送信 - JA福岡信連
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起
WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
エレコム製無線LANルータ2機種に複数の脆弱性
エレコム製の複数無線LANルータに3件の脆弱性
「Apache Tomcat」にアップデート - 「同8.5」系は最後の更新