製品・ソフトウェアに関する情報

JVN脆弱性詳細

WordPress 用 GD Star Rating プラグインにおけるクロスサイトリクエストフォージェリの脆弱性

Title	WordPress 用 GD Star Rating プラグインにおけるクロスサイトリクエストフォージェリの脆弱性
Summary	WordPress 用 GD Star Rating プラグインには、クロスサイトリクエストフォージェリの脆弱性が存在します。
Possible impacts	第三者により、管理者の認証をハイジャックされ、(1) wp-admin/admin.php の gd-star-rating-stats ページの s パラメータを介して、SQL インジェクション攻撃を実行される、または (2) クロスサイトスクリプティング攻撃を実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	March 28, 2014, midnight
Registration Date	Jan. 15, 2015, 3:57 p.m.
Last Update	Jan. 15, 2015, 3:57 p.m.

Affected System

Dev4Press

GD Star Rating 19.22

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-2838	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2838
National Vulnerability Database (NVD)
2	CVE-2014-2838	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2838

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-352	https://jvndb.jvn.jp/ja/cwe/CWE-352.html

ベンダー情報

No	Name	URL
Dev4Press
1	Top Page	https://www.dev4press.com/plugins/gd-star-rating/

その他

No	Name	URL
関連文書
1	XSS, CSRF and blind SQL injection in GD Star Rating 1.9.22 (WordPress plugin)	http://seclists.org/fulldisclosure/2014/Mar/399

Change Log

No	Changed Details	Date of change
0	[2015年01月15日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-2838

Summary	Multiple cross-site request forgery (CSRF) vulnerabilities in the GD Star Rating plugin 19.22 for WordPress allow remote attackers to hijack the authentication of administrators for requests that conduct (1) SQL injection attacks via the s parameter in the gd-star-rating-stats page to wp-admin/admin.php or (2) cross-site scripting (XSS) attacks via unspecified vectors.
Publication Date	Jan. 13, 2015, 12:59 a.m.
Registration Date	Jan. 26, 2021, 3:09 p.m.
Last Update	Nov. 21, 2024, 11:07 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:dev4press:gd_star_rating:19.22:::::wordpress::

Related information, measures and tools

No	URL	タグ
1	http://seclists.org/fulldisclosure/2014/Mar/399	Exploit
2	http://seclists.org/fulldisclosure/2014/Mar/399	Exploit
3	http://secunia.com/advisories/57667
4	http://secunia.com/advisories/57667
5	https://advisories.dxw.com/advisories/csrf-and-blind-sql-injection-in-gd-star-rating-1-9-22/
6	https://advisories.dxw.com/advisories/csrf-and-blind-sql-injection-in-gd-star-rating-1-9-22/
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/92156
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/92156

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-352	クロスサイト・リクエスト・フォージェリ（CSRF）	https://cwe.mitre.org/data/definitions/352.html
2	CWE-352	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html