WordPress 用プラグイン Advanced Custom Fields に複数の認証欠如の脆弱性 | ScanNetSecurity
2024.04.19(金)

WordPress 用プラグイン Advanced Custom Fields に複数の認証欠如の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月2日、WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月2日、WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社イエラエセキュリティの山崎啓太郎氏が報告を行っている。影響を受けるシステムは以下の通り。

Advanced Custom Fields 5.11 より前のバージョン
Advanced Custom Fields Pro 5.11 より前のバージョン

 Delicious Brains が提供する WordPress 用プラグイン Advanced Custom Fields には、データベース閲覧に関わる認証の欠如(CVE-2021-20865)、ユーザ一覧取得に関わる認証の欠如(CVE-2021-20866)、フィールドグループ移動に関わる認証の欠如(CVE-2021-20867)の脆弱性が存在する。

 想定される影響としては、当該製品のユーザによって、データベース上のアクセス権限のないデータを閲覧される(CVE-2021-20865)、アクセス権限のない情報の一覧を窃取される(CVE-2021-20866)、利用権限のないフィールドグループの移動を行われる(CVE-2021-20867)可能性がある。

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  3. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  6. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  7. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  8. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  9. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  10. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP