WordPressのプラグインで人気の高いカスタムフィールドプラグインに重大なセキュリティ脆弱性が見つかった。これは200万以上のインストールがあるため大きな影響が予想される。該当する場合は迅速に更新することが望まれる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
WordPressの人気プラグインである「Advanced Custom Fields」(ACF)に重大なセキュリティ脆弱(ぜいじゃく)性が存在するとPatchstackが報じた(脆弱性の発見者であるGMOサイバーセキュリティ byイエラエの山崎 啓太郎氏も同脆弱性をブログで解説している)。
このプラグインは200万以上のアクティブインストールがあり、その影響範囲の広さが懸念されている。脆弱性はクロスサイトスクリプティングに関連したもので、認証を受けていないユーザーによる情報窃取や特権昇格が可能となる。
WordPressで人気の高いACFに重要なセキュリティ脆弱性が存在することがPatchstackによって伝えられた。このプラグインは200万を超えるアクティブインストールが確認されており、影響が広いことが懸念される。該当するプラグインを使っているユーザーは迅速にアップデートを適用することが望まれる。
報告されたセキュリティ脆弱性は「CVE-2023-30777」として特定されている。このセキュリティ脆弱性はクロスサイトスクリプティング(XSS)の脆弱性とされており、悪用された場合は認証を受けていないユーザーによる情報窃取や、特権ユーザーをだましてWordPressサイトにおいて特権昇格を実施される危険性があるとされている。
セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次の通りだ。
セキュリティ脆弱性が修正されたプロダクトおよびバージョンは次の通りだ。
Patchstackは本セキュリティ脆弱性の深刻度を共通脆弱性評価システム(CVSS)v3で7.1と評価し重要(High)と位置付けている。
Advanced Custom Fieldsプラグインを使うことでユーザーは迅速にカスタムフィールドをWebページに追加できる。便利なプラグインであり、広く使われている点に注意が必要だ。セキュリティ脆弱性が存在するバージョンを使い続けるのはリスクがある。該当するプロダクトを使用している場合は迅速にアップデートを適用し、ユーザーアカウントの設定を見直してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.