説明
WordPressのプラグインやテーマには複数の重大な脆弱性が存在します。悪意のあるユーザーは、これらの脆弱性を悪用して、任意のコードを実行または注入し、セキュリティをバイパスしてローカルファイルを読み取ることができます。
以下は、脆弱性の完全なリストです
-
複数のXSSの脆弱性がSpider Facebook、Contact Form DB、WooCommerce、WP Media Cleaner、Ninjaフォーム、WonderPlugin Audio Player、WPML、Google Doc Embedderプラグインで見つかりました。これらの脆弱性を利用することにより、悪意のあるユーザーは任意のスクリプトを注入することができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。
-
複数のCSRFの脆弱性が、モバイルドメイン、画像メタデータクレンチャー、Acobotライブチャット&コンタクトフォーム、CrossSlide jQuery、Easy Social Icons、Redirectionページプラグインで見つかりました。これらの脆弱性を利用することで、悪質なユーザーは管理者の認証を乗り越えることができます。これらの脆弱性は、管理パネルに関連する未知のベクトルを介してリモートから悪用される可能性があります。
-
Elegant Themes Diviテーマにディレクトリトラバーサルの脆弱性が見つかりました。この脆弱性を利用することで、悪意のあるユーザーはローカルファイルを読み取ることができます。この脆弱性は、特別に設計されたimgパラメータを使用してリモートから悪用される可能性があります。
-
SQLインジェクションの脆弱性は、Apptha WordPress Video Gallery、WonderPlugin Audio Player、Spider Event Calendar、WPML、WordPress Survey、Pollプラグイン、Photocratiテーマで検出されました。この脆弱性を利用することで、悪意のあるユーザーは任意のSQLコマンドを実行できます。この脆弱性は、管理パネルに関連するベクトルを介してリモートから悪用される可能性があります。
-
無制限のファイルアップロードがFusionテーマで見つかりました。この脆弱性を利用することにより、悪質なユーザーは任意のコードを実行することができます。この脆弱性は、不特定のベクターを介してリモートから悪用される可能性があります。
- 不適切なリクエスト処理やその他の未知の脆弱性がWPMLプラグインで見つかりました。この脆弱性を利用することで、セキュリティ上の制限を回避できます。これらの脆弱性は、特別に設計された要求を介してリモートから悪用される可能性があります。
オリジナルアドバイザリー
CVEリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com