本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脆弱性

WordPressプラグインの複数の脆弱性

Kaspersky ID:
KLA10491
検出日:
03/17/2015
更新日:
07/05/2018

説明

WordPressのプラグインやテーマには複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、任意のコードを実行または注入し、セキュリティをバイパスしてローカルファイルを読み取ることができます。

以下は、脆弱性の完全なリストです

  1. 複数のXSSの脆弱性がSpider Facebook、Contact Form DB、WooCommerce、WP Media Cleaner、Ninjaフォーム、WonderPlugin Audio Player、WPML、Google Doc Embedderプラグインで見つかりました。これらの脆弱性を利用することにより、悪意のあるユーザーは任意のスクリプトを注入することができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。

  2. 複数のCSRFの脆弱性が、モバイルドメイン、画像メタデータクレンチャー、Acobotライブチャット&コンタクトフォーム、CrossSlide jQuery、Easy Social Icons、Redirectionページプラグインで見つかりました。これらの脆弱性を利用することで、悪質なユーザーは管理者の認証を乗り越えることができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。

  3. Elegant Themes Diviテーマにディレクトリトラバーサルの脆弱性が見つかりました。この脆弱性を利用することで、悪意のあるユーザーはローカルファイルを読み取ることができます。この脆弱性は、特別に設計されたimgパラメータを使用してリモートから悪用される可能性があります。

  4. SQLインジェクションの脆弱性は、Apptha WordPress Video Gallery、WonderPlugin Audio Player、Spider Event Calendar、WPML、WordPress Survey、Pollプラグイン、Photocratiテーマで検出されました。この脆弱性を利用することで、悪意のあるユーザーは任意のSQLコマンドを実行できます。この脆弱性は、管理パネルに関連するベクトルを介してリモートから悪用される可能性があります。

  5. 無制限のファイルアップロードがFusionテーマで見つかりました。この脆弱性を利用することにより、悪質なユーザーは任意のコードを実行することができます。この脆弱性は、不特定のベクターを介してリモートから悪用される可能性があります。

  6. 不適切なリクエスト処理やその他の未知の脆弱性がWPMLプラグインで見つかりました。この脆弱性を利用することで、セキュリティ上の制限を回避できます。これらの脆弱性は、特別に設計された要求を介してリモートから悪用される可能性があります。

オリジナルアドバイザリー

CVEリスト

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Related articles
19 November 2024
Securelist
Scammer Black Friday offers: Online shopping threats and dark web sales
14 November 2024
Securelist
Сrimeware and financial cyberthreats in 2025
14 November 2024
Kaspersky Daily
実務に携わるサイバーセキュリティのエキスパートが設計したトレーニングコース「xTraining」 | カスペルスキー公式ブログ
13 November 2024
Securelist
Threats in space (or rather, on Earth): internet-exposed GNSS receivers
11 November 2024
Securelist
Ymir: new stealthy ransomware in the wild
08 November 2024
Securelist
QSC: A multi-plugin framework used by CloudComputating group in cyberespionage campaigns
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
Kaspersky ID
脆弱性
Detect date
危険度
Confirm changes?
Your message has been sent successfully.