WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバに複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は7月20日、WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

・CVE-2023-32624
TS Webfonts for さくらのレンタルサーバ 3.1.0 およびそれ以前

・CVE-2023-32625
TS Webfonts for さくらのレンタルサーバ 3.1.2 およびそれ以前

　さくらインターネット株式会社が提供する WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・クロスサイトスクリプティング（CVE-2023-32624）
→当該プラグインを使用している WordPress にログインしているユーザのウェブブラウザ上で任意のスクリプトを実行される

・クロスサイトリクエストフォージェリ（CVE-2023-32625）
→当該プラグインを使用している WordPress の管理画面にログインした状態のユーザが細工されたページにアクセスした場合、意図しない設定に変更させられる

　JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。なお開発者は、本脆弱性を修正した下記のバージョンをリリースしている。

・CVE-2023-32624：
TS Webfonts for さくらのレンタルサーバ 3.1.1

・CVE-2023-32625：
TS Webfonts for さくらのレンタルサーバ 3.1.3