![WordPressでファイルをダウンロードさせるボタンが設置できる無料プラグイン「Download Manager」](https://wp-lab.net/wp-content/uploads/2022/08/20220804eyecatch-80x80.jpg)
WordPressプラグインの脆弱性情報です。
![WordPress脆弱性情報](https://wp-lab.net/wp-content/uploads/2022/05/vulnerability.jpg)
LeanPressプラグインに、脆弱性存在の報告
LeanPressプラグインバージョン4.2.5.7以前のものについて、複数の脆弱性の存在が確認されました。
このプラグインはWordPressを使ってeラーニングのサイトを構築するプラグインです。有効ダウンロード数は9万件を超えるプラグインです。
開示された脆弱性には、CVSS 3.1スコア 9.8、8.1(Wordfence)という重大・ハイリスクなものが含まれています。
1.CVE-2023-6634:コマンドインジェクション(認証なしの攻撃者により実行可能)
2.CVE-2023-6567:SQLインジェクション(認証なしの攻撃者により実行可能)
3.CVE-2023-7002:情報漏洩に繋がる直接のオブジェクト参照(購読者以上の権限の攻撃者により実行可能)
影響を受けるバージョン
影響を受けるバージョンは、4.2.5.7以前のバージョンです。
完全パッチバージョン
脆弱性の存在箇所について修正がなされたバージョンは4.2.5.8です。
CVE ID
CVE-2023-6634、CVE-2023-6567、CVE-2023-7002
今回脆弱性が報告されたプラグインのページはこちらです。
参考サイト:Wordfence・脆弱性情報 CVE-2023-6634、CVE-2023-6567、CVE-2023-7002