WordPressのプラグイン「The Events Calendar」でSQLインジェクションの脆弱性が発見(CVE-2024-8275)
WordPress(ワードプレス)のプラグイン「The Events Calendar」に重大な脆弱性が確認されました。これはバージョン6.6.4までのすべてのバージョンに影響します。CVE -2024-8275として指定されたこの脆弱性には、重大度が重大であることを示すCVSS スコア 9.8 が割り当てられています。
脆弱性への対処法
バージョン6.6.4.1またはそれ以降のパッチ適用バージョンに直ちに更新する
脆弱性の対象バージョン
バージョン6.6.4未満のすべてのバージョン
脆弱性 CVE-2024-8275の概要
ユーザー指定のパラメータのエスケープが不十分で、既存の SQL クエリの準備が不十分な為、’tribe_has_next_event’ 関数の ‘order’ パラメータを介した SQL インジェクションに対して脆弱です。これにより、認証されていない攻撃者が既存のクエリに SQL クエリを追加して、データベースから機密情報を抽出できるようになります。