WordPressプラグイン「Smart Forms」 に関する脆弱性が公表されました。
RedNaoが提供するWordPress用プラグイン「Smart Forms」には、クロスサイトリクエストフォージェリ(CWE-352) の脆弱性が存在します。 WordPressの管理画面にログインした状態のユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。 意図しない操作には、フォームの新規作成、既存のフォームへのJavaScriptコードの挿入、既存のフォームの削除が含まれます。
本脆弱性を修正したバージョンが公開されているので、最新版へアップデートしてください。
JP-CERTよりDrupalの脆弱性が発表されました。
REST API等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340)が存在します。 本脆弱性はRESTful Web Services等のREST APIを利用するモジュールが有効の場合、影響を受ける可能性があります。 なお、RESTful Web Servicesは、デフォルトでは無効となっています。 本脆弱性を悪用することで、遠隔の第三者が、任意のPHPコードを実行する可能性があります。
脆弱性を修正したバージョンが公開されています。 十分なテストを行い、修正済みバージョンを適用することが推奨されます。
また、本脆弱性が修正されたモジュールについても更新が必要です。
WordPressプラグイン「FormCraft」 に関する脆弱性が公表されました。
当該プラグインには、クロスサイトリクエストフォージェリ(CWE-352) の脆弱性が存在します。 WordPress の管理画面にログインした状態のユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。 意図しない操作には、フォームの新規作成、既存のフォームへの JavaScript コードの挿入、既存のフォームの削除が含まれます。
本脆弱性を修正したバージョンが公開されています。 対象のプラグインを利用している場合、最新版へアップデートしてください。
US-CERTよりDrupalの脆弱性が発表されました。
Drupalに複数の脆弱性がみつかり、これらの脆弱性を悪用された場合、遠隔の第三者が任意のコードを実行するなどの可能性があります。
本脆弱性を修正したバージョンが公開されています。 十分なテストを行い、修正済みバージョンへのアップデートが推奨されます。
WordPressプラグイン「spam-byebye」に関する脆弱性が公表されました。
「spam-byebye」には、反射型のクロスサイトスクリプティングの脆弱性が存在します。 当該プラグインのセットアップページにアクセスできるユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
本脆弱性を修正したバージョンが公開されています。 対象プラグインを利用している場合、十分なテスト後に最新版へアップデートしてください。
WordPressプラグイン「Google XML Sitemaps」 に関する脆弱性が公表されました。
「Google XML Sitemaps」には、格納型のクロスサイトスクリプティングの脆弱性が存在します。 ウェブサイトを複数の管理者が共同管理している状況で、悪意を持った管理者が細工した入力を行うことで、他の管理者がプラグイン設定ページにアクセスした際にWebブラウザ上で任意のスクリプトを実行される可能性があります。
脆弱性を修正したバージョンが公開されています。 対象のプラグインを利用している場合、十分なテストを行い最新版へアップデートしてください。
WordPressに複数の脆弱性が公表されました。 対象バージョンを利用している場合、修正済みバージョンへのアップデートが必要です。
WordPress5から投稿エディターの仕様が変更されています。 この変更に伴い、5.0以降では利用できなくなるプラグインやテーマが発生する可能性があります。 5.0.1へバージョンアップする場合は、あらかじめバックアップを取得しておきましょう。
複数の脆弱性により、特定の権限を持つユーザーがファイルを削除するなどの可能性があります。
EC-CUBE 3.0系にオープンリダイレクト (CWE-601) の脆弱性が存在します。 対象バージョンを利用している場合は、修正済みのバージョンへのアップデートが必要です。
EC-CUBE 3.0系の「オープンリダイレクト」は、細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性があります。
メールフォームによるお問い合わせは休業期間中も受け付ています。 ただし、休業中のお問い合わせについては、2019年1月4日(金)以降の回答となります。 誤操作による対応も原則として2019年1月4日(金)以降の対応となります。
休業期間中の支払分については、入金確認作業が2019年1月4日(金)以降となります。
WordPressプラグイン「WP GDPR Compliance」 に関する脆弱性が公表されました。 対象バージョンを利用している場合、修正済みのバージョンへのアップデートが必要です。
当該プラグインが有効になっていると、悪意のある第三者が管理者権限を作成することが可能となり、 WordPressへ不正にログインされてしまう可能性があります。