Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP向けプラグイン「Modern Events Calendar Lite」に脆弱性 - 修正されるもWordPress.orgでの提供は中止に

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供している「Modern Events Calendar Lite」に脆弱性が明らかとなった。修正版はリリースされているが、WordPressの公式ディレクトリでの公開は中止されており、開発者のサイトより入手する必要がある。

同プラグインは、「WordPress」においてカレンダーの表示機能を提供するWebnus製のソフトウェア。脆弱性情報のポータルサイトであるJVNによれば、格納型の「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2022-30533」が明らかとなったもの。

脆弱性を悪用されると利用者のブラウザ上で任意のスクリプトを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.4」。

同脆弱性は、三井物産セキュアディレクションの荒牧努氏が情報処理推進機構(IPA)へ報告したもので、JPCERTコーディネーションセンターが調整を行った。

同脆弱性は「同6.3.0」以降で修正されており、5月11日時点の最新版は「同6.5.6」となるが、WordPress.orgにおける公開は同日より中止されており、今後の公開予定もないという。最新版を入手するには、開発者から入手する必要がある。

(Security NEXT - 2022/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

障害者の就労支援会社がランサム被害 - 「Phobos」亜種が関与か
「サイバー防衛シンポ熱海2022」が8月に開催 - 露烏戦争から見るサイバー戦
HPE Crayスーパーコンピューターに深刻な脆弱性 - アップデートで修正
MS、「Microsoft Edge 103.0.1264.37」で独自修正した脆弱性を追加 - 評価の逆転現象も
小学校で児童の画像含むカメラなどを紛失 - 横須賀市
日経BPの医療関係者向けサイトに不正アクセス - ギフトコードの不正読み取りも
尼崎市USBメモリ紛失、関係者は再々委託先 - BIPROGY「あくまで責任は弊社」
全住民情報を委託先が紛失、飲食後路上で眠り込みカバンなくす - 尼崎市
顧客情報記載の書類が所在不明、誤廃棄の可能性 - 広島県信用組合
グループ海外拠点でランサム被害、情報共有に時間要す - トヨタ紡織