1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960)

WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960)

セキュリティニュース

投稿日時: 更新日時:

WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960)

WordPressの人気プラグイン 「Brizy – Page Builder 」で重大な脆弱性(CVE-2024-10960)が発生しました。パッチがリリースされているので対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

バージョン2.6.4以下の全てのバージョン

脆弱性の対処バージョン

2.6.5以上

脆弱性の概要

2.6.4 までのすべてのバージョンで「storeUploads」関数のファイル タイプ検証が欠落しているため、任意のファイルのアップロードに対して脆弱です。

これにより、貢献者レベル以上のアクセス権を持つ認証済みの攻撃者が、影響を受けるサイトのサーバーに任意のファイルをアップロードし、リモート コード実行が可能になる可能性があります。

 

参照

Brizy – Page Builder <= 2.6.4 – Authenticated (Contributor+) Arbitrary File Upload via storeUploads

 

関連記事

WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 ) Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594)Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594) WordPressのオンライン 教育コースを作成する人気プラグイン「LearnPress」で重大な脆弱性(CVE-2024-8522、CVE-2024-8529)が発生しています。 両脆弱性ともにCVSS スコア が最大の10と非常に危険なので対象者は今すぐアップデートが必要です。WordPressの人気プラグイン「LearnPress 」で重大な脆弱性 対象者は今すぐアップデートを Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセスVolt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害 古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029)古いIPカメラのゼロデイ脆弱性を悪用するマルウェア(CVE-2024-7029) TeamViewerで危険度の高い脆弱性(CVE-2024-7479,CVE-2024-7481)TeamViewerで危険度の高い脆弱性(CVE-2024-7479,CVE-2024-7481) Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401)Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401)