IPA/WordPress 用プラグイン「WordPress Popular Posts」におけるクロスサイト・スクリプティングの脆弱性 他

2021年7月2日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021年6月23日に「WordPress 用プラグイン『WordPress PopularPosts』におけるクロスサイト・スクリプティングの脆弱性」を、JVN(JapanVulnerability Notes)において公表しました。

◆概要
・Hector Cabrera が提供する「WordPress Popular Posts」は、投稿を表示する機能をもつ WordPress 用プラグインです。

・「WordPress Popular Posts」には、クロスサイト・スクリプティングの脆弱性が存在します。

・当該製品の管理者権限を持つユーザが、自身のブラウザ上で意図せずスクリプトを実行してしまう可能性があります。

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、2021年4月21日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#63066062」を参照

─────────────────────────────────────────────────────────────────────

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021年6月23日に「『EC-CUBE』における複数のクロスサイト・スクリプティングの脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・株式会社イーシーキューブが提供する「EC-CUBE」は、オープンソースのショッピングサイト構築システムです。

・「EC-CUBE」には、次に挙げる複数のクロスサイト・スクリプティングの脆弱性が存在します。
▽ クロスサイト・スクリプティング - CVE-2021-20750
▽ クロスサイト・スクリプティング - CVE-2021-20751

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 攻撃者が当該製品の管理者を細工したページに誘導し、特定の操作を実行させることにより、管理者のウェブブラウザ上で任意のスクリプトが実行される- CVE-2021-20750
▽ 攻撃者が当該製品の管理者またはユーザを細工したページに誘導し、特定の操作を実行させることにより、管理者またはユーザのウェブブラウザ上で任意のスクリプトが実行される- CVE-2021-20751

・開発者が提供する情報をもとに、最新版にアップデートするかパッチを適用してください。

◆この脆弱性情報は、2021年5月13日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#95292458」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。