概要
WordPress プラグイン「Import and export users and customers」の バージョン 1.29.7 以下 に おいて、権限昇格 の 脆弱性(CWE-269: Improper Privilege Management)が 存在 します。
ユーザー インポート 機能 に おいて wp_capabilities フィールド の 値 が 適切 に 制限 されて いない ため、未認証 の 攻撃者 が インポート 機能 を 悪用 して 管理者(Admin)権限 の アカウント を 作成 する こと が 可能 です。
認証 なし で 攻撃 が 実行 できる ため、影響 を 受ける WordPress サイト は 直ちに プラグイン を アップデート する 必要 が あります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.1 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| CWE | CWE-269 (不適切な権限管理) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Import and export users and customers | codection | 1.29.7 以下 |
修正バージョンと回避策
- 修正バージョン: 1.29.8 以降 へ の アップデート が 推奨 されます
- 暫定回避策: プラグイン の 一時的 な 無効化。ユーザー インポート 機能 へ の アクセス 制限
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。