WordPressプラグインの脆弱性情報です。
Jetpack プラグインに、脆弱性存在の報告
Jetpack プラグインにおいて、複数の脆弱性の存在が確認されました。
Jetpackは、WordPressサイトのSEO対策やセキュリティ、バックアップ等の複合的な強化を行う人気プラグインです。有効ダウンロード数は500万件以上で、日本にも多くのユーザーがいます。
Wordfenceより11月16日に公開された脆弱性情報は2種類ありWordfenceの評価ではCVSS 3.1スコア4.3、5.0とされています。
脆弱性の内容は、WPCom External Media RESTエンドポイントを介した不適切な認証およびIframeインジェクションによるクリックジャッキングです。どちらも寄稿者(contributor)以上の権限で実行可能です。
影響を受けるバージョン
影響を受けるバージョンは12.7未満のバージョンです。
完全パッチバージョン
脆弱性の存在箇所について、修正がなされたバージョンはバージョン12.7です。
CVE ID
CVE-2023-47788 CVE-2023-47774
今回脆弱性が報告されたプラグインのページはこちらです。
参考サイト: Wordfence・脆弱性情報:CVE-2023-47788(不適切な認証)・CVE-2023-47774(クリックジャッキング)