WordPress向け「Dynamics 365」連携プラグインにRCE脆弱性
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Dynamics 365 Integration」に脆弱性が明らかとなった。
同プラグインは、マイクロソフトの「Dynamics 365」や「Dynamics CRM」と「WordPress」の連携を実現するソフトウェア。
テンプレートエンジン「Twig」における入力処理の不備に起因する「テンプレートインジェクション」の脆弱性「CVE-2024-12583」が明らかとなった。
寄稿者(Contributor)以上の権限をもつユーザーによって任意のコードを実行したり、任意のファイルを読み取ることが可能となる。
CVE番号を採番したDefiantのWordfenceでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」、重要度を「クリティカル(Critical)」とレーティングした。
「同1.3.24」にて脆弱性は修正されており、利用者にアップデートが呼びかけられている。その後もアップデートが実施されており、2025年1月6日時点の最新版は「同1.4」となる。
(Security NEXT - 2025/01/07 )
ツイート
PR
関連記事
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
「CODE BLUE 2025」まもなく開催 - CFP応募は前年比約1.6倍
「IBM AIX」のNIM関連機能に深刻な脆弱性 - アップデートで修正
保育所で卒園児情報含むUSBメモリが所在不明 - 北九州市
サカタのタネにサイバー攻撃 - 侵入痕跡を確認
ネットワークにサイバー攻撃、情報流出の可能性も - 広島工業大
中学校で生徒の個人情報含む書類がファイルごと所在不明 - 横浜市
ウェブ公開資料に個人情報、不開示処理に不備 - 御前崎市
国勢調査対象者名簿を誤送信、メアド誤り第三者へ - 熊谷市
「MS Edge」にアップデート - 「V8」の脆弱性を解消
