WordPressよりスマホアプリを構築するプラグインに脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されているプラグイン「Build App Online」に脆弱性が明らかとなった。プラグインの公開が一時中止されている。

「Build App Online」は、スマートフォン向けのアプリを構築できるプラグイン。「同1.0.21」および以前のバージョンに認証をバイパスすることが可能となる脆弱性「CVE-2024-3658」が明らかとなった。

攻撃者が「ID」を把握している場合、同ユーザーになりすましてアクセスが可能になるという。

DefiantのWordfenceは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度をもっとも高い「クリティカル（Critical）」とレーティングした。

5月20日の時点でアップデートは用意されておらず、WordPress.orgのプラグインディレクトリでは5月17日よりプラグインの公開を一時中止している。

（Security NEXT - 2024/05/21 ） ツイート

PR

関連記事

成績データを誤アップロード、生徒がSNSで共有 - 静岡県
IoT製品セキュラベル制度「JC-STAR」、申請受付を開始 - 特別料金も
IT資産管理ソフト「AssetView」に脆弱性 - アップデートを提供
食肉通販サイトに不正アクセス - 顧客情報が流出した可能性
監視ツール「Pandora FMS」に複数の脆弱性 - アップデートで修正
GitHubアクション「reviewdog」で改ざん被害 - SC攻撃の起点に
区長死亡後の遺品整理で貸与文書が回収不能に - 大刀洗町
個人情報含むUSBメモリ4本が所在不明、監査で発覚 - 静岡県
博物館でメール誤送信、市民活動グループ会員のメアド流出 - 平塚市
Progress製ロードバランサーに脆弱性 - アップデートが公開