公開日:2016/05/13 最終更新日:2016/05/16
JVN#44657371
WordPress 用プラグイン「Ninja Forms」における PHP オブジェクトインジェクションの脆弱性
WordPress 用プラグイン「Ninja Forms」には、PHP オブジェクトインジェクションの脆弱性が存在します。
- Ninja Forms Version 2.9.36 から 2.9.42 まで
WordPress 用プラグイン「Ninja Forms」には、信頼できない POST の値をアンシリアライズする問題に起因する PHP オブジェクトインジェクションの脆弱性が存在します。
遠隔の第三者によって、任意の PHP コードを実行される可能性があります。
アップデートする
開発者が提供する情報をもとに、対策版へアップデートしてください。
開発者は、本脆弱性の対策アップデートとして Version 2.9.43 を、また 2.9.36 から 2.9.42 までのそれぞれのバージョンの対策版 (2.9.36.1、2.9.37.1 など) をリリースしています。
また、その他の脆弱性を修正した Version 2.9.45 へのアップデートを推奨しています。
| ベンダ | リンク |
| WP Ninjas, LLC. | Important Security Update or You Always Hurt the Ones You Love |
| Ninja Forms — WordPress Plugins |
CVSS v3
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
基本値:
5.6
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
CVSS v2
AV:N/AC:M/Au:N/C:P/I:P/A:P
基本値:
6.8
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2016-1209 |
| JVN iPedia |
JVNDB-2016-000064 |
- 2016/05/13
- 概要および詳細情報の製品名記載を変更しました
- 2016/05/16
- 謝辞を削除しました
