WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性 | ScanNetSecurity
2023.04.01(土)

WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

IPAおよびJPCERT/CCは、WordPressにおける複数の脆弱性について「JVN」で情報を更新した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、WordPressにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で情報を更新した。

 この脆弱性は、「WordPress 6.0.3 より前のバージョン」に存在するクロスサイトスクリプティング(CVE-2022-43497、CVE-2022-43500)および不適切な認証(CVE-2022-43504)。三井物産セキュアディレクション株式会社の米山俊嗣氏が報告を行ったもの。

 これらの脆弱性が悪用されると、当該製品を使用するサイトを閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2022-43497、CVE-2022-43500)、遠隔の第三者によって「メール投稿」機能を利用して記事を投稿したユーザのメールアドレスを取得されるといった可能性がある。

 JVNでは今回「対策方法」を更新し、開発者が提供する情報をもとに、最新版(バージョン 6.0.3)にアップデートするよう呼びかけている。また開発者は、3.7以降のすべてのバージョンに本修正を適用したリリースを提供している。

《吉澤 亨史( Kouji Yoshizawa )》

特集

PageTop

アクセスランキング

  1. インターネットアーカイブが出版大手四社に破壊される可能性

    インターネットアーカイブが出版大手四社に破壊される可能性

  2. 家庭用ルーターの不正利用に注意喚起、設定変更されていないか定期確認を

    家庭用ルーターの不正利用に注意喚起、設定変更されていないか定期確認を

  3. ACCS、「海賊版ソフト利用に法的措置」メールに注意呼びかけ

    ACCS、「海賊版ソフト利用に法的措置」メールに注意呼びかけ

  4. ランサムウェア感染を隠蔽したソフトウェア企業の末路

    ランサムウェア感染を隠蔽したソフトウェア企業の末路

  5. サイバーセキュリティ経営ガイドラインVer3.0公開、求められる視野の拡大

    サイバーセキュリティ経営ガイドラインVer3.0公開、求められる視野の拡大

  6. セキュリティ企業七つの大罪 ~ Rapid7 古川勝也 ヘラジカの教え

    セキュリティ企業七つの大罪 ~ Rapid7 古川勝也 ヘラジカの教えPR

  7. 日本シーサート協議会「サイバー攻撃演習/訓練実施マニュアル」と解説動画公開

    日本シーサート協議会「サイバー攻撃演習/訓練実施マニュアル」と解説動画公開

  8. サイバー犯罪者が悪用する9つの認知バイアス

    サイバー犯罪者が悪用する9つの認知バイアス

  9. 「住友不動産のふれあい+S」で3,378件の個人情報がアクセス可能な状態に

    「住友不動産のふれあい+S」で3,378件の個人情報がアクセス可能な状態に

  10. 大企業ほど脱PPAPに遅れ

    大企業ほど脱PPAPに遅れ

ランキングをもっと見る