WordPress脆弱性情報：Blog2Socialプラグイン

WordPressプラグインの脆弱性情報です。

Blog2Socialプラグインに、脆弱性存在の報告

Blog2Socialプラグインにおいて、脆弱性の存在が確認されました。
有効インストール数7万件を超えるプラグインで、WordPressの投稿をSNSに簡単に反映させることができます。FacebookやTwitterの他に、Instagramやタンブラーなどその他にも様々なSNSへ連携が可能です。

 開示された脆弱性は2種類あり、CVSS 3.1スコア7.4と9.1、共に高リスクのものです。

脆弱性の内容は、SSRF(Server Side Request Forgery)とSQL Injection (SQLi)の脆弱性です。

両方とも購読者以上の全ての認証されたユーザーによる攻撃が可能となっています。

これらの脆弱性に関する詳細の情報（PoC）は10月中旬以降に開示される予定です。

影響を受けるバージョン

影響を受けるバージョンは、6.9.9以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは6.9.10です。

CVE ID

CVE-2022-3247　（SSRF）

CVE-2022-3246（SQLi）

今回脆弱性が報告されたプラグインのページはこちらです。

高リスクな脆弱性です。特に、このプラグインを使っていて、不特定多数のユーザーに認証を与える

サイトを運用している方は、速やかにアップデートをすることをお勧めします。

参考サイト：　WPScan・脆弱性情報　　SSRF脆弱性　SQLi脆弱性