独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、WordPressにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で情報を更新した。
この脆弱性は、「WordPress 6.0.3 より前のバージョン」に存在するクロスサイトスクリプティング(CVE-2022-43497、CVE-2022-43500)および不適切な認証(CVE-2022-43504)。三井物産セキュアディレクション株式会社の米山俊嗣氏が報告を行ったもの。
これらの脆弱性が悪用されると、当該製品を使用するサイトを閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2022-43497、CVE-2022-43500)、遠隔の第三者によって「メール投稿」機能を利用して記事を投稿したユーザのメールアドレスを取得されるといった可能性がある。
JVNでは今回「対策方法」を更新し、開発者が提供する情報をもとに、最新版(バージョン 6.0.3)にアップデートするよう呼びかけている。また開発者は、3.7以降のすべてのバージョンに本修正を適用したリリースを提供している。
