WordPressプラグインの脆弱性情報です。
Jetpack プラグインに、脆弱性存在の報告
Jetpack プラグインにおいて、脆弱性の存在が確認されました。
Jetpackは、WordPressサイトのSEO対策やセキュリティ、バックアップ等の複合的な強化を行う人気プラグインです。有効ダウンロード数は500万件以上で、日本にも多くのユーザーがいます。
開示された脆弱性はWordfenceの評価ではCVSS 3.1スコア6.5とされており中程度なものですが、patchstackではCVSS 3.1スコア9.0とクリティカルなものとされています。
プラグイン開発元はこの脆弱性をクリティカルなものと報告しており、ユーザーへは自動アップデートが適用されています。
プラグイン開発元によると、脆弱性はバージョン2以降で利用可能なAPIの脆弱性におけるものであり、サイトの投稿者によりファイル操作の悪用ができるというものです。
影響を受けるバージョン
影響を受けるバージョンは、12.1以前のバージョンです。
完全パッチバージョン
脆弱性の存在箇所について、修正がなされたバージョンはバージョン12.1.1です。
※バージョン2.0系以降の各ブランチにパッチバージョンがリリースされています。
CVE ID
CVE-2023-2966
今回脆弱性が報告されたプラグインのページはこちらです。
プラグイン開発元によるリリースの詳細ページはこちらです。
参考サイト: Wordfence・脆弱性情報