Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)
2024年9月4日 WordPressで人気のプラグインAdvanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(JVN#67963942,CVE-2024-45429)が発見されました。この脆弱性は CVSS v3のスコアは5.4と警告程度のリスクになります。
Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(JVN#67963942,CVE-2024-45429)の概要
当該製品の設定情報で設定された‘capability’設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性があります。
capabilityはWordPressにログインしているユーザー権限の種類によって、サイドメニューへオプションページを表示させるかどうかを設定になります。その為脆弱性の範囲は比較的限定される為 CVSS v3のスコアは5.4と警告程度のリスクになります。
影響を受けるバージョン
- Advanced Custom Fields 6.3.5およびそれ以前のバージョン
- Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン
報告者:三井物産セキュアディレクション株式会社 外山 良 氏
参照