概要 | Cross-site scripting vulnerability exists in Advanced Custom Fields versions 6.3.5 and earlier and Advanced Custom Fields Pro versions 6.3.5 and earlier. If an attacker with the 'capability' setting privilege which is set in the product settings stores an arbitrary script in the field label, the script may be executed on the web browser of the logged-in user with the same privilege as the attacker's. |
---|---|
公表日 | 2024年9月5日8:15 |
登録日 | 2024年9月5日12:00 |
最終更新日 | 2024年9月5日21:53 |
タイトル | WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性 |
---|---|
概要 | WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsのフィールドラベルには、クロスサイトスクリプティング(CWE-79)の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 外山 良 氏 |
想定される影響 | 当該製品の設定情報で設定された'capability'設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性があります。 |
対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 ・Advanced Custom Fields 6.3.6 ・Advanced Custom Fields Pro 6.3.6 |
公表日 | 2024年9月4日0:00 |
登録日 | 2024年9月4日12:10 |
最終更新日 | 2024年9月4日12:10 |
WP Engine |
Advanced Custom Fields 6.3.5およびそれ以前のバージョン |
Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン |
No | 変更内容 | 変更日 |
---|---|---|
1 | [2024年09月04日] 掲載 |
2024年8月30日14:16 |