WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性 | ScanNetSecurity
2024.03.19(火)

WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

IPAおよびJPCERT/CCは、WordPressにおける複数の脆弱性について「JVN」で情報を更新した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月2日、WordPressにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で情報を更新した。

 この脆弱性は、「WordPress 6.0.3 より前のバージョン」に存在するクロスサイトスクリプティング(CVE-2022-43497、CVE-2022-43500)および不適切な認証(CVE-2022-43504)。三井物産セキュアディレクション株式会社の米山俊嗣氏が報告を行ったもの。

 これらの脆弱性が悪用されると、当該製品を使用するサイトを閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2022-43497、CVE-2022-43500)、遠隔の第三者によって「メール投稿」機能を利用して記事を投稿したユーザのメールアドレスを取得されるといった可能性がある。

 JVNでは今回「対策方法」を更新し、開発者が提供する情報をもとに、最新版(バージョン 6.0.3)にアップデートするよう呼びかけている。また開発者は、3.7以降のすべてのバージョンに本修正を適用したリリースを提供している。

《吉澤 亨史( Kouji Yoshizawa )》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×