VK Blocks および VK All in One Expansion Unit におけるクロスサイトスクリプティングの脆弱性
詳細情報
株式会社ベクトルが提供する WordPress 用プラグイン VK Blocks および VK All in One Expansion Unit には、下記に示す複数のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
タグ編集機能におけるクロスサイトスクリプティング – CVE-2023-27923
投稿機能におけるクロスサイトスクリプティング – CVE-2023-27925
プロフィール設定機能におけるクロスサイトスクリプティング – CVE-2023-27926
CTA 投稿機能におけるクロスサイトスクリプティング – CVE-2023-28367想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2023-27923、CVE-2023-28367
当該製品を使用しているサイトにアクセスしているユーザのウェブブラウザ上で、任意のスクリプトを実行される – CVE-2023-27925、CVE-2023-27926対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。VK Blocks 1.54.0.0 以降
VK Blocks Pro 1.54.0.0 以降
VK All in One Expansion Unit 9.88.2.0 以降WordPress 用プラグイン VK Blocks および VK All in One Expansion Unit におけるクロスサイトスクリプティングの脆弱性 – jvn.jp