WordPress向け「Dynamics 365」連携プラグインにRCE脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Dynamics 365 Integration」に脆弱性が明らかとなった。
同プラグインは、マイクロソフトの「Dynamics 365」や「Dynamics CRM」と「WordPress」の連携を実現するソフトウェア。
テンプレートエンジン「Twig」における入力処理の不備に起因する「テンプレートインジェクション」の脆弱性「CVE-2024-12583」が明らかとなった。
寄稿者(Contributor)以上の権限をもつユーザーによって任意のコードを実行したり、任意のファイルを読み取ることが可能となる。
CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」、重要度を「クリティカル(Critical)」とレーティングした。
「同1.3.24」にて脆弱性は修正されており、利用者にアップデートが呼びかけられている。その後もアップデートが実施されており、2025年1月6日時点の最新版は「同1.4」となる。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
「ブラックフライデー」狙いのドメイン取得増加 - 偽通販サイトに警戒を
クラファン支援者向けの案内メールで誤送信 - レノファ山口
動画イベントのキャンペーン応募者情報を誤公開 - 皮膚科クリニック
高校情報共有ツールで個人情報が閲覧可能に、成績なども - 東京都
「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
米当局、「Chromium」ゼロデイ脆弱性に注意喚起 - 派生ブラウザも警戒を
エプソン製プロジェクターに脆弱性 - 310機種に影響
「NVIDIA DGX Spark」に複数脆弱性 - 重要度「クリティカル」も
行政文書を紛失、書架移動の繰り返しで紛失か - 愛知労働局
