要約
2024 年 8 月 20 日 WordPress のプラグイン「GiveWP」に重大な脆弱(ぜいじゃく)性が公表されました。
- 対象バージョン
version 3.14.1 およびこれ以前のバージョン
- 対策済み修正バージョン
version 3.14.2 およびこれ以降のバージョン
※機械翻訳結果です。
説明
WordPress 用の GiveWP – 寄付プラグインおよび募金プラットフォーム プラグインは、3.14.1 までのすべてのバージョンで、’give_title’ パラメータからの信頼できない入力の逆シリアル化による PHP オブジェクト インジェクションに対して脆弱です。これにより、認証されていない攻撃者が PHP オブジェクトを挿入できるようになります。さらに POP チェーンが存在するため、攻撃者はリモートでコードを実行し、任意のファイルを削除できます。CVSS
スコア : 10、重要度 : 致命的 、バージョン : 3.1
スポンサーリンク
CVE(Common Vulnerabilities and Exposures)とは
CVE(Common Vulnerabilities and Exposures、共通脆弱性識別子)は、ソフトウェアやハードウェアに存在する脆弱性を一意に識別するための標準化された識別子です。
各脆弱性に固有のCVE-IDが付与され、これにより異なる組織やツール間で脆弱性情報を統一的に管理・共有できます。CVEは、米国の非営利組織であるMITRE社によって管理されています。
公式サイト:CVE Overview(概要)
日本語でCVEに関する情報を提供しているサイトとして、独立行政法人情報処理推進機構(IPA)の「共通脆弱性識別子CVE概説」ページがあります。このサイトでは、CVEの概要や関連情報が日本語で詳しく解説されています。
また、IPAとJPCERT/CCが共同で運営する「JVN(Japan Vulnerability Notes)」も、日本語で脆弱性情報を提供しているポータルサイトです。ここでは、国内外の製品やソフトウェアに関する脆弱性情報が公開されており、CVE-IDと関連付けられた情報も確認できます。
まとめ
- 2024 年 8 月 20 日 WordPress のプラグイン「GiveWP」の重大な脆弱(ぜいじゃく)性が公表されました。
- 対象バージョン
version 3.14.1 およびこれ以前のバージョン - 対策済み修正バージョン
version 3.14.2 およびこれ以降のバージョン
スポンサーリンク