WordPress脆弱性情報：ProfilePressプラグイン

WordPressプラグインの脆弱性情報です。

ProfilePressプラグインに、脆弱性存在の報告

ProfilePressプラグイン（Paid Membership, Ecommerce, Registration Form, Login Form, User Profile, Paywall & Restrict Content – ProfilePress・旧名称WP User Avatar）バージョン4.5.4以前のものについて、複数の脆弱性の存在が確認されました。

もともと、このプラグインはWP User Avatarという名で親しまれていた、サイト内でプロフィール写真を簡単に設定できるプラグインです。2021年にプラグインの仕様を変更し、ProfilePressという名前に変更されました。

開示された脆弱性はCVSS 3.1スコア7.2および6.4（Wordfence）とされており、高リスクのものを含んでいます。

開示された脆弱性の内容は格納型XSSで、そのうちの一つは認証なしの攻撃者が実行できる可能性があります。

影響を受けるバージョン

影響を受けるバージョンは、4.5.4以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは4.5.5です。

CVE ID

CVE-2023-23820　/　CVE-2023-23830

今回脆弱性が報告されたプラグインのページはこちらです。

参考サイト：　Wordfence・脆弱性情報　①　/　Wordfence・脆弱性情報　②