「SiteGuard WP Plugin」変更したログインパスが漏えいする脆弱性 2024年5月31日

脆弱性情報
スポンサーリンク

要約

WordPress 用プラグイン SiteGuard WP Plugin に脆弱性が存在。
対象はバージョン 1.7.7よりも前。
変更したログインパスへのアクセスが​他のページからのリダイレクトで可能になる脆弱性が存在。

【JVNより引用】

■概要
WordPressプラグイン「SiteGuard WP Plugin」のVer1.7.6以前に情報漏洩の脆弱性が存在することが判明しました。 この脆弱性が悪用された場合、本プラグインの機能により変更されたログインパスが漏洩し、不正なログインの試行が行われる危険性があります。 この問題の影響を受ける「SiteGuard WP Plugin」のバージョンを以下に示しますので、修正されたバージョンを使用してください。

■該当製品
製品名称 WordPressプラグイン「SiteGuard WP Plugin」
該当バージョン
バージョン1.7.6以前

■脆弱性がもたらす脅威
ログインページ変更機能のオプションである「管理者ページからのログインページへリダイレクトしない」をチェックした場合は(初期設定ではチェックされません)、変更されたログインパスは漏洩されない想定でしたが、/wp-register.phpにアクセスすると漏洩してしまいます。変更されたログインパスが漏洩した場合、ログイン試行の攻撃が行われる可能性がありますが、直ちにログインを許すことはありません。

■対策方法
バージョン 1.7.6 以前の製品を利用されているお客様は、バージョン1.7.7以降に更新してください。

WordPressプラグイン「SiteGuard WP Plugin」における情報漏洩の脆弱性:WPV2024001

概要
EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、​他のページからのリダイレクトにより可能になる脆弱性が存在します。

影響を受けるシステム
SiteGuard WP Plugin 1.7.7より前のバージョン

JVN#60331535 WordPress用プラグインSiteGuard WP Pluginにおける変更したログインパスが漏えいする脆弱性

スポンサーリンク






JVN(Japan Vulnerability Notes)による情報

JVN#60331535 WordPress用プラグインSiteGuard WP Pluginにおける変更したログインパスが漏えいする脆弱性

【JVN公式サイトより引用】

JVNとは何ですか?

JVN は、”Japan Vulnerability Notes” の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。

JVNに掲載されている情報

JVN では、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります。

スポンサーリンク






まとめ

  • SiteGuard WP Plugin に脆弱性があります。
  • 対象バージョンは 1.7.7 より前です。
  • 対象バージョンをご利用している場合は 1.7.7 以降に更新することで脆弱性への対策となります。

スポンサーリンク






タイトルとURLをコピーしました