本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

KLA10491
WordPressプラグインの複数の脆弱性
更新日: 07/05/2018
検出日
?
03/17/2015
危険度
?
緊急
説明

WordPressのプラグインやテーマには複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、任意のコードを実行または注入し、セキュリティをバイパスしてローカルファイルを読み取ることができます。

以下は、脆弱性の完全なリストです

  1. 複数のXSSの脆弱性がSpider Facebook、Contact Form DB、WooCommerce、WP Media Cleaner、Ninjaフォーム、WonderPlugin Audio Player、WPML、Google Doc Embedderプラグインで見つかりました。これらの脆弱性を利用することにより、悪意のあるユーザーは任意のスクリプトを注入することができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。

  2. 複数のCSRFの脆弱性が、モバイルドメイン、画像メタデータクレンチャー、Acobotライブチャット&コンタクトフォーム、CrossSlide jQuery、Easy Social Icons、Redirectionページプラグインで見つかりました。これらの脆弱性を利用することで、悪質なユーザーは管理者の認証を乗り越えることができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。

  3. Elegant Themes Diviテーマにディレクトリトラバーサルの脆弱性が見つかりました。この脆弱性を利用することで、悪意のあるユーザーはローカルファイルを読み取ることができます。この脆弱性は、特別に設計されたimgパラメータを使用してリモートから悪用される可能性があります。

  4. SQLインジェクションの脆弱性は、Apptha WordPress Video Gallery、WonderPlugin Audio Player、Spider Event Calendar、WPML、WordPress Survey、Pollプラグイン、Photocratiテーマで検出されました。この脆弱性を利用することで、悪意のあるユーザーは任意のSQLコマンドを実行できます。この脆弱性は、管理パネルに関連するベクトルを介してリモートから悪用される可能性があります。

  5. 無制限のファイルアップロードがFusionテーマで見つかりました。この脆弱性を利用することにより、悪質なユーザーは任意のコードを実行することができます。この脆弱性は、不特定のベクターを介してリモートから悪用される可能性があります。

  6. 不適切なリクエスト処理やその他の未知の脆弱性がWPMLプラグインで見つかりました。この脆弱性を利用することで、セキュリティ上の制限を回避できます。これらの脆弱性は、特別に設計された要求を介してリモートから悪用される可能性があります。
影響を受ける製品

1.0.11より前のSpider Facebookプラグインのバージョン
モバイルドメインプラグインバージョン1.5.2
リダイレクトページプラグインバージョン1.2
エレガントなテーマDiviのテーマすべてのバージョン
2.5.19より前のバージョンのGoogle Doc Embedderプラグイン
イメージメタデータCruncherプラグインの全バージョン
フォームDBプラグインバージョン2.8.26にお問い合わせください
Acobotライブチャット&コンタクトフォームプラグインバージョン2.0
2.2.11より前のWooCommerceプラグインのバージョン
Apptha WordPress Video Galleryプラグインバージョン2.8より前
WordPress調査と投票プラグインバージョン1.1.7
CrossSlide jQueryプラグインバージョン2.0.5
1.2.3より前のEasy Social Iconsプラグインバージョン
2.1より前のWonderPlugin Audio Playerプラグインバージョン
融合テーマバージョン3.1
2.8.9より前のNinja Formsプラグインのバージョン
Photocratiテーマ4すべてのバージョン
3.1.9より前のWPMLプラグインバージョン

解決法

安全なバージョンに更新するか、使用する別のプラグインまたはテーマを選択してください

影響
?
RLF 
[?]

CI 
[?]

ACE 
[?]

SB 
[?]
関連製品
WordPress unclassified products
CVE-IDS
?

CVE-2015-2791
CVE-2015-2792
CVE-2015-2314
CVE-2015-2315
CVE-2015-2216
CVE-2015-2218
CVE-2015-2220
CVE-2015-2194
CVE-2015-2195
CVE-2015-2196
CVE-2015-2199
CVE-2015-2084
CVE-2015-2089
CVE-2015-2090
CVE-2015-2065
CVE-2015-2069
CVE-2015-2039
CVE-2015-2040
CVE-2015-1614
CVE-2015-1879
CVE-2015-1579
CVE-2015-1580
CVE-2015-1581
CVE-2015-1582


オリジナルへのリンク