Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)

Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(CVE-2024-45429)

2024年9月4日 WordPressで人気のプラグインAdvanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(JVN#67963942,CVE-2024-45429)が発見されました。この脆弱性は CVSS v3のスコアは5.4と警告程度のリスクになります。

Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性(JVN#67963942,CVE-2024-45429)の概要

当該製品の設定情報で設定された‘capability’設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性があります。

capabilityはWordPressにログインしているユーザー権限の種類によって、サイドメニューへオプションページを表示させるかどうかを設定になります。その為脆弱性の範囲は比較的限定される為 CVSS v3のスコアは5.4と警告程度のリスクになります。

影響を受けるバージョン

  • Advanced Custom Fields 6.3.5およびそれ以前のバージョン
  • Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン

報告者:三井物産セキュアディレクション株式会社 外山 良 氏

参照

WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性

TOPへ