WordPress のプラグイン InPost PL と InPost for WooCommerce に重大な脆弱性 2024年8月17日

脆弱性情報
スポンサーリンク

要約

2024 年 8 月 17 日 WordPress のプラグイン「InPost PL」と「InPost for WooCommerce」に重大な脆弱(ぜいじゃく)性が報告されました。

対象バージョン

  • InPost PL WordPress プラグイン
    version 1.4.4およびこれ以前のバージョン
  • InPost for WooCommerce WordPress プラグイン
    version 1.4.0およびこれ以前のバージョン

対策済み修正バージョン

  • InPost PL WordPress プラグイン
    version 1.4.5およびこれ以降のバージョン
  • InPost for WooCommerce WordPress プラグイン
    確認できませんでした。未修正の可能性があります。

※機械翻訳結果です。

説明
InPost for WooCommerce プラグインおよび InPost PL WordPress プラグインは、1.4.0 (InPost for WooCommerce) および 1.4.4 (InPost PL) までのすべてのバージョンで ‘parse_request’ 関数の機能チェックが欠落しているため、不正アクセスやデータ削除に対して脆弱です。これにより、認証されていない攻撃者が Windows サーバー上の任意のファイルを読み取ったり削除したりできるようになります。Linux サーバーでは、WordPress インストール内のファイルのみが削除されますが、すべてのファイルを読み取ることができます。

CVSS
スコア : 10、重要度 : 致命的 、バージョン : 3.1 

スポンサーリンク






CVE(Common Vulnerabilities and Exposures)とは

CVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)は、ソフトウェアやハードウェアに存在する脆弱性を一意に識別するための標準化された識別子です。

各脆弱性に固有のCVE-IDが付与され、これにより異なる組織やツール間で脆弱性情報を統一的に管理・共有できます。CVEは、米国の非営利組織であるMITRE社によって管理されています。

公式サイト:CVE Overview(概要)

日本語でCVEに関する情報を提供しているサイトとして、独立行政法人情報処理推進機構(IPA)の「共通脆弱性識別子CVE概説」ページがあります。このサイトでは、CVEの概要や関連情報が日本語で詳しく解説されています。

また、IPAとJPCERT/CCが共同で運営する「JVN(Japan Vulnerability Notes)」も、日本語で脆弱性情報を提供しているポータルサイトです。ここでは、国内外の製品やソフトウェアに関する脆弱性情報が公開されており、CVE-IDと関連付けられた情報も確認できます。

まとめ

  • 2024 年 8 月 17 日 WordPress のプラグイン「InPost PL」と「InPost for WooCommerce」に重大な脆弱(ぜいじゃく)性が見つかりました。
  • InPost PL
    • 対象バージョン
      version 1.4.4およびこれ以前のバージョン
    • 修正バージョン
      version 1.4.5およびこれ以降のバージョン
  • InPost for WooCommerce
    • 対象バージョン
      version 1.4.0およびこれ以前のバージョン
    • 修正バージョン
      確認できませんでした。確認できませんでした。未修正の可能性があります。

スポンサーリンク






タイトルとURLをコピーしました