WordPress 用プラグイン Advanced Custom Fields にXSSの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は8月21日、WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes（JVN）」発表した。

脆弱性と脅威セキュリティホール・脆弱性

1668 views

2023.8.23 Wed 8:00

Advanced Custom Fields 6.1.0 から 6.1.7 までのバージョン
Advanced Custom Fields Pro 6.1.0 から 6.1.7 までのバージョン

　WP Engine が提供する WordPress 用プラグイン Advanced Custom Fields には、クロスサイトスクリプティングの脆弱性が存在し、当該製品に編集者およびそれ以上の権限でログインしているユーザのウェブブラウザ上で任意のスクリプトを実行される可能性がある。

　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。なおWP Engineは、本脆弱性を修正した下記のバージョンをリリースしている。

Advanced Custom Fields 6.1.8
Advanced Custom Fields Pro 6.1.8

《ScanNetSecurity》

特集

アクセスランキング

ランキングをもっと見る

PageTop

WordPress 用プラグイン Advanced Custom Fields にXSSの脆弱性

関連記事

WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性（Scan Tech Report）

TDU学生、WordPress用プラグインWP Sticky SocialにおけるCSRF脆弱性発見

WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバに複数の脆弱性

WordPress 用プラグイン Snow Monkey Forms にディレクトリトラバーサルの脆弱性

特集

関連リンク

アクセスランキング

NTTセキュリティ・ジャパンの Mythos 解説ほか

「復旧は被害資産を戻すのではなく新しく構築」東山産業ランサムウェア攻撃被害

SBOM 導入の課題整理ほか「サイバーセキュリティに関するグローバル動向四半期レポート（2025年2Q）」

ソフトバンクの「10億 AI agents」実現を支えるセキュリティ戦略～ CISO室ストラテジーリード講演

穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

関連記事

WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性（Scan Tech Report）

TDU学生、WordPress用プラグインWP Sticky SocialにおけるCSRF脆弱性発見

WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバに複数の脆弱性

WordPress 用プラグイン Snow Monkey Forms にディレクトリトラバーサルの脆弱性

特集

関連リンク

アクセスランキング

NTTセキュリティ・ジャパンの Mythos 解説ほか

「復旧は被害資産を戻すのではなく新しく構築」東山産業 ランサムウェア攻撃被害

SBOM 導入の課題整理ほか「サイバーセキュリティに関するグローバル動向四半期レポート（2025年2Q）」

ソフトバンクの「10億 AI agents」実現を支えるセキュリティ戦略 ～ CISO室ストラテジーリード講演

穴吹ハウジングサービスへのランサムウェア攻撃、外部に漏えいした可能性のある個人情報は 207,773 件であることを最終確認

「復旧は被害資産を戻すのではなく新しく構築」東山産業ランサムウェア攻撃被害

ソフトバンクの「10億 AI agents」実現を支えるセキュリティ戦略～ CISO室ストラテジーリード講演