2つのWordPress用プラグインに複数の脆弱性、アップデートを呼びかけ（JVN）

IPAおよびJPCERT/CCは、SUKIMALAB.COMが提供する複数の「WordPress」用プラグインの脆弱性について報告が行われていると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2019.6.11 Tue 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は6月10日、SUKIMALAB.COMが提供する複数の「WordPress」用プラグインの脆弱性について報告が行われていると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは6.1。東京電機大学情報通信工学科暗号方式・暗号プロトコル研究室の松岡夏美氏が報告を行った。

「Online Lesson Booking 0.8.6 およびそれ以前」には、格納型のクロスサイトスクリプティング（XSS）（CVE-2019-5972）およびクロスサイトリクエストフォージェリ（CSRF）（CVE-2019-5973）の脆弱性が存在する。また、「Attendance Manager 0.5.6 およびそれ以前」にも、格納型のXSS（CVE-2019-5970）およびCSRF（CVE-2019-5971）の脆弱性が存在する。

これらの脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行されたり（XSS）、当該製品にログインした状態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる（CSRF）可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》