製品・ソフトウェアに関する情報

JVN脆弱性詳細

Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Namにおける保存型クロスサイトスクリプティングが発生する脆弱性

タイトル	Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Namにおける保存型クロスサイトスクリプティングが発生する脆弱性
概要	WordPress用プラグイン『Thanh Toan Quet Ma QR Code Tu Dong - MoMo, ViettelPay, VNPay va 40 ngan hang Viet Nam』には、wp_kses_allowed_html関数の誤った使用により、バージョン2.0.1を含むすべてのバージョンで保存型クロスサイトスクリプティング（Stored XSS）の脆弱性が存在します。この誤用によって、特定のHTML要素に対して十分な制限やコンテキスト検証を行わずに'onclick'属性を許可してしまっています。その結果、認証されていない攻撃者が任意のWebスクリプトをページに注入でき、ユーザーが注入されたページにアクセスするたびにそのスクリプトが実行される可能性があります。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年9月25日0:00
登録日	2026年1月6日10:55
最終更新日	2026年1月6日10:55

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

影響を受けるシステム

WordPress.org

Thanh Toan Quet Ma QR Code Tu Dong 2.0.1 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-8914	https://www.cve.org/CVERecord?id=CVE-2024-8914
National Vulnerability Database (NVD)
2	CVE-2024-8914	https://nvd.nist.gov/vuln/detail/CVE-2024-8914

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Wordfence Intelligence
1	Thanh Ton Qut M QR Code T ng MoMo, ViettelPay, VNPay v 40 ngn hng Vit Nam <= 2.0.1 - Unauthenticated Stored Cross-Site Scripting	https://www.wordfence.com/threat-intel/vulnerabilities/id/8ef7c48b-e8f2-40bd-aa48-191059e15453?source=cve

その他

No	名前	URL
関連文書
1	Thanh Ton Qut M QR Code T ng MoMo, ViettelPay, VNPay v 40 ngn hng Vit Nam WordPress plugin \| WordPress.org	https://wordpress.org/plugins/bck-tu-dong-xac-nhan-thanh-toan-chuyen-khoan-ngan-hang/#developers

変更履歴

No	変更内容	変更日
1	[2026年01月06日] 掲載	2026年1月6日10:55

NVD脆弱性情報

CVE-2024-8914

概要	The Thanh Toán Quét Mã QR Code Tự Động – MoMo, ViettelPay, VNPay và 40 ngân hàng Việt Nam plugin for WordPress is vulnerable to Stored Cross-Site Scripting in all versions up to, and including, 2.0.1 due to incorrect use of the wp_kses_allowed_html function, which allows the 'onclick' attribute for certain HTML elements without sufficient restriction or context validation. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
概要	El complemento Thanh Toán Quét Mã QR Code T? ??ng – MoMo, ViettelPay, VNPay y 40 ngân hàng Vi?t Nam para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta la 2.0.1 incluida debido al uso incorrecto de la función wp_kses_allowed_html, que permite el atributo 'onclick' para ciertos elementos HTML sin suficiente restricción o validación de contexto. Esto hace posible que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
公表日	2024年9月25日10:15
登録日	2024年9月25日16:00
最終更新日	2026年4月9日3:22

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:wordpress:thanh_toan_quet_ma_qr_code_tu_dong::::::wordpress::*			2.0.1

No	URL	refsource
1	https://plugins.trac.wordpress.org/browser/bck-tu-dong-xac-nhan-thanh-toan-chuyen-khoan-ngan-hang/trunk/inc/functions.php#L184	security@wordfence.com
2	https://plugins.trac.wordpress.org/changeset/3349149/	security@wordfence.com
3	https://wordpress.org/plugins/bck-tu-dong-xac-nhan-thanh-toan-chuyen-khoan-ngan-hang/#developers	security@wordfence.com
4	https://www.wordfence.com/threat-intel/vulnerabilities/id/8ef7c48b-e8f2-40bd-aa48-191059e15453?source=cve	security@wordfence.com