| Summary | The Kento Post View Counter plugin for WordPress is vulnerable to SQL Injection via the 'kento_pvc_geo' parameter in versions up to, and including, 2.8 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. |
|---|---|
| Publication Date | Oct. 16, 2024, 4:15 p.m. |
| Registration Date | Oct. 16, 2024, 8 p.m. |
| Last Update | Oct. 16, 2024, 4:15 p.m. |
| Title | Kento Post View CounterプラグインにおけるSQLインジェクションの脆弱性 |
|---|---|
| Summary | WordPress 用の Kento Post View Counter プラグインには、ユーザーから提供される 'kento_pvc_geo' パラメータに対するエスケープ処理が不十分であり、既存の SQL クエリに十分な準備が施されていません。そのため、バージョン 2.8 まで(2.8 を含む)では SQL インジェクションの脆弱性が存在します。この脆弱性を悪用することで、認証されていない攻撃者が追加の SQL クエリを既存のクエリに挿入し、データベースから機密情報を抽出することが可能です。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Oct. 16, 2024, midnight |
| Registration Date | Dec. 25, 2025, 5:02 p.m. |
| Last Update | Dec. 25, 2025, 5:02 p.m. |
| KentoThemes |
| kento-post-view-counter 2.8 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年12月25日] 掲載 |
Dec. 25, 2025, 5:02 p.m. |