2つのWordPress用プラグインに複数の脆弱性、アップデートを呼びかけ(JVN)
IPAおよびJPCERT/CCは、SUKIMALAB.COMが提供する複数の「WordPress」用プラグインの脆弱性について報告が行われていると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「Online Lesson Booking 0.8.6 およびそれ以前」には、格納型のクロスサイトスクリプティング(XSS)(CVE-2019-5972)およびクロスサイトリクエストフォージェリ(CSRF)(CVE-2019-5973)の脆弱性が存在する。また、「Attendance Manager 0.5.6 およびそれ以前」にも、格納型のXSS(CVE-2019-5970)およびCSRF(CVE-2019-5971)の脆弱性が存在する。
これらの脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行されたり(XSS)、当該製品にログインした状態の管理者権限を持つユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CSRF)可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》