WordPress 用プラグイン LearnPress における複数の脆弱性について
2018年11月12日
省庁・団体名
独立行政法人情報処理推進機構
内容
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2018 年 11 月 9 日に「WordPress 用プラグイン『LearnPress』における複数の脆弱性」を、JVN (JapanVulnerability Notes)において公表しました。
概要
ThimPress が提供する「LearnPress」は、WordPress 用の学習管理システムプラグインです。 「LearnPress」には、次の複数の脆弱性が存在します。
- クロスサイト・スクリプティング - CVE-2018-16173
- オープンリダイレクト - CVE-2018-16174
- SQL インジェクション - CVE-2018-16175
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 当該製品にログインしているユーザのウェブブラウザ上で任意のスクリプトが実行される - CVE-2018-16173
- 当該製品にログインしているユーザが、細工されたリンクにアクセスすることで任意のウェブサイトにリダイレクトされ、その結果フィッシング攻撃の影響を受ける - CVE-2018-16174
- 管理者権限を持つユーザによって、任意の SQL コマンドを実行される - CVE-2018-16175
対策方法
開発者が提供する情報をもとに最新版へアップデートしてください。
お問い合わせ
IPA セキュリティセンター
E-mail: vuln-inq@ipa.go.jp
一般社団法人JPCERTコーディネーションセンター
E-mail: vultures@jpcert.or.jp