CVE-2024-45429
| Summary |
Cross-site scripting vulnerability exists in Advanced Custom Fields versions 6.3.5 and earlier and Advanced Custom Fields Pro versions 6.3.5 and earlier. If an attacker with the 'capability' setting privilege which is set in the product settings stores an arbitrary script in the field label, the script may be executed on the web browser of the logged-in user with the same privilege as the attacker's.
|
| Publication Date |
Sept. 5, 2024, 8:15 a.m. |
| Registration Date |
Sept. 5, 2024, noon |
| Last Update |
Sept. 14, 2024, 5:48 a.m. |
|
CVSS3.1 : MEDIUM
|
| スコア |
6.1
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
要 |
| 影響の想定範囲(S) |
変更あり |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
低 |
| 可用性への影響(A) |
なし |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:wpengine:advanced_custom_fields:*:*:*:*:pro:wordpress:*:* |
|
6.3.5 |
|
|
| cpe:2.3:a:wpengine:advanced_custom_fields:*:*:*:*:*:wordpress:*:* |
|
6.3.5 |
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
| Title |
WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
|
| Summary |
WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsのフィールドラベルには、クロスサイトスクリプティング(CWE-79)の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 外山 良 氏
|
| Possible impacts |
当該製品の設定情報で設定された'capability'設定権限を有する攻撃者によって、フィールドラベルに任意のスクリプトを保存された場合、当該製品にログインしている攻撃者と同じ権限を持つユーザのウェブブラウザ上で、このスクリプトを実行される可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 ・Advanced Custom Fields 6.3.6 ・Advanced Custom Fields Pro 6.3.6 |
| Publication Date |
Sept. 4, 2024, midnight |
| Registration Date |
Sept. 4, 2024, 12:10 p.m. |
| Last Update |
Sept. 4, 2024, 12:10 p.m. |
Affected System
| WP Engine |
|
Advanced Custom Fields 6.3.5およびそれ以前のバージョン
|
|
Advanced Custom Fields Pro 6.3.5およびそれ以前のバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2024年09月04日]
掲載 |
Aug. 30, 2024, 2:16 p.m. |