独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月20日、WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
・CVE-2023-32624
TS Webfonts for さくらのレンタルサーバ 3.1.0 およびそれ以前
・CVE-2023-32625
TS Webfonts for さくらのレンタルサーバ 3.1.2 およびそれ以前
さくらインターネット株式会社が提供する WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・クロスサイトスクリプティング(CVE-2023-32624)
→当該プラグインを使用している WordPress にログインしているユーザのウェブブラウザ上で任意のスクリプトを実行される
・クロスサイトリクエストフォージェリ(CVE-2023-32625)
→当該プラグインを使用している WordPress の管理画面にログインした状態のユーザが細工されたページにアクセスした場合、意図しない設定に変更させられる
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
・CVE-2023-32624:
TS Webfonts for さくらのレンタルサーバ 3.1.1
・CVE-2023-32625:
TS Webfonts for さくらのレンタルサーバ 3.1.3
