CVE-2024-45429
概要

Cross-site scripting vulnerability exists in Advanced Custom Fields versions 6.3.5 and earlier and Advanced Custom Fields Pro versions 6.3.5 and earlier. If an attacker with the 'capability' setting privilege which is set in the product settings stores an arbitrary script in the field label, the script may be executed on the web browser of the logged-in user with the same privilege as the attacker's.

公表日 2024年9月5日8:15
登録日 2024年9月5日12:00
最終更新日 2024年9月5日21:53
関連情報、対策とツール
共通脆弱性一覧

JVN脆弱性情報
WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
タイトル WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
概要

WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsのフィールドラベルには、クロスサイトスクリプティング(CWE-79)の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 外山 良 氏

想定される影響 当該製品の設定情報で設定された'capability'設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性があります。
対策

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 ・Advanced Custom Fields 6.3.6 ・Advanced Custom Fields Pro 6.3.6

公表日 2024年9月4日0:00
登録日 2024年9月4日12:10
最終更新日 2024年9月4日12:10
影響を受けるシステム
WP Engine
Advanced Custom Fields 6.3.5およびそれ以前のバージョン
Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2024年09月04日]
  掲載
2024年8月30日14:16