2024年9月4日
多くのWordPressサイトにインストールされているAdvanced Custom Fields (ACF)に脆弱性がアナウンスされています。尚、弊社への保守を依頼頂いているサイトは全て対応済みとなっております。
Advanced Custom Fields (ACF)公式配布サイト
https://ja.wordpress.org/plugins/advanced-custom-fields/
脆弱性該当バージョン
Advanced Custom Fields 6.3.5およびそれ以前のバージョン
Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン
ACFのXSSについて
WordPress用プラグインAdvanced Custom Fieldsのフィールドラベルには、クロスサイトスクリプティングの脆弱性が存在し、当該製品の設定情報で設定された’capability’設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性がある。
JVN#67963942
WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN67963942/index.html
JVNからの情報は必ず保守依頼を受けている企業は確認をしてください。
また、保守依頼せず、自力でWordPressを作ってしまっているサイトも定期的に状態を確認してください。
リビジョン株式会社では、サイトチェックからアップデート、プラグインの開発まで行っております。
WordPressの対応依頼はフォームからご連絡ください。