Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WP向けプラグイン「WP User Frontend」に深刻な脆弱性 - PoC公開済み

コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「WP User Frontend」に脆弱性が明らかとなった。

同ソフトは、「WordPress」のフロントエンドに投稿フォームやプロフィール編集などの機能を追加できるプラグイン。認証不備の脆弱性「CVE-2021-24649」が明らかとなった。デフォルトのキーを利用するなど、第三者が認証キーやソルトを参照できる場合、管理者など任意の権限を設定したアカウントを作成可能になるという。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。

同脆弱性は、2021年11月にCVE番号が採番され、2022年9月にリリースされた「同3.5.29」にて修正された。その後10月には実証コード(PoC)が公開されている。

(Security NEXT - 2022/12/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

患者情報含むUSBメモリが所在不明 - 岩手医科大病院
共通テスト追試申請書をFAX誤送信 - 静岡大
メールの誤送信で職員を戒告処分 - 嘉手納町
契約者情報の不正持ち出し、約2.9万件と判明 - JSB
メタバース活用におけるセキュリティを考えるオンラインイベント - JSSECら
「ESXiArgs」対策で製品の更新やOpenSLPの無効化を呼びかけ - VMware
メール誤送信でキャンペーン参加事業者のメアド流出 - 三重県
し尿収集業者が収集申込者の個人情報を紛失 - 広島市
2月3日ごろより「VMware ESXi」のランサム被害急増- 国内でも発生か
市立保育所で児童の個人情報含むUSBメモリが所在不明 - 赤穂市