概要
WordPress プラグイン Fonts Manager に おいて、認証 を 必要 と しない 時間 ベース の SQL インジェクション(Time-based Blind SQL Injection)が 可能 な 脆弱性 が 存在 します。CWE-89(SQLインジェクション)に 分類 されます。
攻撃者 は 認証 なし で 細工 した リクエスト を 送信 する こと で、データベース から 情報 を 抽出 する こと が 可能 です。WordPress サイト の 管理者 アカウント 情報 や ユーザー データ が 漏洩 する リスク が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-89(SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- WordPress Fonts Manager(1.2 以前)
修正バージョンと回避策
- 修正バージョン: プラグイン の 最新バージョン へ の アップデート を 推奨
- 暫定回避策: Fonts Manager プラグイン を 無効化 / 削除。WAF(Web Application Firewall)で SQL インジェクション パターン を ブロック
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。