Patchstackは5月5日(現地時間)、「Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites」において、WordPressで人気のあるカスタムフィールドプラグインにクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性が存在すると伝えた。すでに200万以上のWebサイトにインストールされ、深刻度は重要(High)と分析されている。
-
Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites
脆弱性は「CVE-2023-30777」として特定されている。この脆弱性を悪用された場合、認証されていないユーザーが機密情報を窃取したり、影響を受けるWordPressサイトにおいて特権昇格が実施されたりする危険性があるとされている。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- Advanced Custom Fields (ACF) 6.1.6よりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Advanced Custom Fields (ACF) バージョン6.1.6
Advanced Custom Fields (ACF)に関する情報は次のページから取得することができる。
Advanced Custom Fields (ACF)は高度なカスタムフィールドを提供するWordPressプラグイン。無償版と有償版の双方が提供されている。人気の高いプラグインであり、すでに200万を超えるアクティブインストールが確認されている点に注意が必要。該当するプラグインを使用している場合は、問題が修正されたバージョンへアップデートすることが望まれる。
