WordPress向けMAプラグインに複数の脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「AutomateWoo」に複数の脆弱性が明らかとなった。
同プラグインは、eコマースプラグイン「WooCommerce」の利用者向けに提供されているマーケティングオートメーションを実現する追加プラグイン。バージョンによって影響を受ける脆弱性は異なるが、あらたに3件の脆弱性が明らかとなったもの。いずれも悪用の報告はないという。
「同4.9.40」および以前のバージョンにおいて、安全ではないファイルタイプをアップロードできる「CVE-2023-33318」が判明。また「同4.9.50」では「CVE-2023-33330」、「同5.7.1」においても「CVE-2023-32743」など「SQLインジェクション」の脆弱性が明らかとなっている。
CVE番号を採番したPatchstackは、共通脆弱性評価システム「CVSSv3.1」において「CVE-2023-33318」のベーススコアを「9.9」と評価。重要度を「クリティカル(Critical)」とレーティングしている。
「CVE-2023-33330」についてはCVSS基本値を「8.5」、「CVE-2023-32743」では「7.6」と評価。ともに重要度を「高(High)」とした。
(Security NEXT - 2023/12/22 )
ツイート
PR
関連記事
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
非常勤医師が自宅でサポート詐欺被害、内部に患者情報 - 和歌山の病院
メール誤送信で商談会出展事業者のメアド流出 - 大阪府
リサイクル着物の通販サイト、クレカ情報流出のおそれ
ランサム攻撃でシステム障害、情報流出の可能性 - 東海ソフト開発
メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者
保健所のデータ受渡用USBが所在不明、管理記録に不備 - 沖縄県
Appleの動画エンコーダ「Compressor」に脆弱性 - アップデートで修正
Zoho製アプリ監視ツールにコマンド検証回避の脆弱性 - アップデートで修正
別会員加入者リストがDL可能に、委託先操作ミスで - 札幌市中小企業共済センター
