概要
Starto は WordPress 用 の テーマ です。反射型 クロスサイト スクリプティング(Reflected XSS)の 脆弱性 が 存在 します。
CWE-79(Improper Neutralization of Input During Web Page Generation)に 分類 される この 問題 に より、攻撃者 は 悪意 の ある URL を ユーザー に クリック させる こと で、対象 ユーザー の ブラウザ 上 で 任意 の JavaScript を 実行 する こと が 可能 です。
これ に より、セッション の 乗っ取り、認証情報 の 窃取、フィッシング への 誘導 などが 行われる 恐れ が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.1 |
| 深刻度 | High |
| CWE | CWE-79 (クロスサイトスクリプティング) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Starto Theme | WordPress テーマ | 影響バージョンはアドバイザリを参照 |
修正バージョンと回避策
- 修正バージョン: テーマ の 最新 バージョン へ アップデート
- 暫定回避策: WAF で 反射型 XSS パターン を ブロック し、Content Security Policy ヘッダー を 設定 する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。