WordPress用プラグイン「WP Statistics」に複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、wpdevelopが提供するWordPress用プラグイン「Booking Calendar」に複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
CVSS v3による最大Base Scoreは6.1。東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室の高木智氏(CVE-2017-2151)、および浅井健氏(CVE-2017-2150)が報告を行った。
「Booking Calendar 7.1 およびそれ以前」にはクロスサイトスクリプティング、の脆弱性(CVE-2017-2151)、「Booking Calendar 7.0 およびそれ以前」にはディレクトリトラバーサルの脆弱性(CVE-2017-2150)が存在する。これらの脆弱性が悪用されると、当該製品を使用しているサイトにアクセスしたユーザのWebブラウザ上で任意のスクリプトを実行されたり、リモートの第三者によって当該製品の管理範囲を超えてサーバ上のファイルにアクセスされる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》