PatchStack – IoT OT Security News

WordPress の Elementor プラグインの脆弱性が FIX：100 万件の Web サイトに乗っ取りの危険性

WordPress Elementor plugin bug let attackers hijack accounts on 1M sites

2023/05/11 BleepingComputer — WordPress で人気を博している、Essential Addons for Elementor に存在する権限昇格の脆弱性の悪用に成功したリモートの未認証の攻撃者が、サイトの管理者権限を獲得する可能性があることが判明した。Essential Addons for Elementor は、100万以上の WordPress サイトで使用されているページ・ビルダー Elementor 用の、90種類のエクステンションを搭載したライブラリである。2023年5月8日に PatchStack が発見した、この脆弱性 CVE-2023-32243 はプラグインのパスワード・リセット機能における、未認証の攻撃者による権限昇格を可能にするものであり、バージョン 5.4.0〜5.7.1 に影響を及ぼす。

WordPress プラグイン Advanced Custom Fields：XSS 脆弱性 CVE-2023-30777 が FIX

WordPress custom field plugin bug exposes over 1M sites to XSS attacks

2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この２つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。

WordPress プラグイン Elementor Pro に深刻な脆弱性：現時点で 1100万サイトにインストール

Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs

2023/03/31 BleepingComputer — 1100万以上の Web サイトで使用されている、人気の WordPress プラグイン Elementor Pro の深刻な脆弱性が、ハッカーたちに積極的に悪用されている。Elementor Pro が提供する機能には、ドラッグ＆ドロップ／テーマ構築／テンプレート・コレクション／カスタム・ウィジェットのサポートに加えて、オンライン・ショップ用の WooCommerce ビルダーなどがある。そのため、ユーザーがコードを知らなくても、プロフェッショナルなサイトを簡単に構築できる、WordPress ページ・ビルダー・プラグインとして人気を博している。

M	T	W	T	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31