WordPress用「Category Specific RSS feed Subscription」に脆弱性(JVN) | ScanNetSecurity
2019.11.15(金)

WordPress用「Category Specific RSS feed Subscription」に脆弱性(JVN)

IPAおよびJPCERT/CCは、Tips and Tricks HQが提供するWordPress用プラグイン「Category Specific RSS feed Subscription」にクロスサイトリクエストフォージェリの脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月18日、Tips and Tricks HQが提供するWordPress用プラグイン「Category Specific RSS feed Subscription」にクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは4.3。東京電機大学 情報通信工学科 暗号方式・暗号プロトコル研究室の阿部豪太氏が報告を行った。

「Category Specific RSS feed Subscription v2.0 およびそれ以前」には、CSRFの脆弱性(CVE-2019-5993)が存在する。この脆弱性により、当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  5. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  6. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  7. マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

  8. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  9. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  10. MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

    MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)

ランキングをもっと見る