WordPress脆弱性情報：WordPress Crayon Syntax Highlighterプラグイン

WordPressプラグインの脆弱性情報です。

WordPress Crayon Syntax Highlighterプラグインに、脆弱性存在の報告

WordPress Crayon Syntax Highlighterプラグインにおいて、脆弱性の存在が確認されました。

このプラグインは、ワードプレスのページ内に HTML/CSS や JavaScript などのソースコードを綺麗に表示させる時に使用します。WEB制作や、コードの解説をするサイトでよく使われている人気プラグインです。

しかしながら、このプラグインは7年近く更新がされておらず、PHPのバージョンによっては表示に不具合おこる場合がある等の情報がありました。

 開示された脆弱性はCVSS 3.1スコア8.8（Wordfence）、5.4（patchstrack）とされています。

脆弱性の内容はCSRFで、認証のない攻撃者がより高い特権を持つユーザーに対し不要なアクションを強制的に実行させる可能性があります。

影響を受けるバージョン

影響を受けるバージョンは、2.8.4以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンはリリースされていません。

プラグインを無効化し、削除することが現段階での脆弱性の解決方法となります。

このプラグインは2022年12月13日に公開・DLが停止となっています。この閉鎖は一時的なものであるとされています。

CVE ID

CVE-2022-47167

今回脆弱性が報告されたプラグインのページはこちらです。

参考サイト：　Patchstack・脆弱性情報