WordPress脆弱性情報：WP Shortcodes Plugin — Shortcodes Ultimateプラグイン

WordPressプラグインの脆弱性情報です。

Shortcodes Ultimateプラグインに、脆弱性存在の報告

Shortcodes Ultimateプラグインにおいて、複数の脆弱性の存在が確認されました。

有効インストール数70万件を超える、日本でも人気のあるプラグインです。このプラグインを使うと、ショートコードを使って、簡単にページの装飾をすることができます。

開示された脆弱性は2件あり、CVSS 3.1スコア6.4および4.3（Wordfence）で中程度のものとされています。

確認された脆弱性の内容は、格納型XSSおよび安全ではない直接のオブジェクト参照です。前者は寄稿者以上の権限で可能、後者については寄稿者以上の権限で他のプラグインと組み合わせた場合に実行が可能とされています。

影響を受けるバージョン

影響を受けるバージョンは、5.13.3以前のバージョンです。

完全パッチバージョン

脆弱性の存在箇所について、修正がなされたバージョンは7.0.0です。

CVE ID

CVE-2023-6225、CVE-2023-6226

今回脆弱性が報告されたプラグインのページはこちらです。

参考サイト：　Wordfence・脆弱性情報（格納型XSS）・（安全でない直接のオブジェクト参照）

※Wordfenceでの情報公開は2023 年 11 月 27 日