製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

WordPress 用プラグイン「Ninja Forms」における PHP オブジェクトインジェクションの脆弱性

タイトル	WordPress 用プラグイン「Ninja Forms」における PHP オブジェクトインジェクションの脆弱性
概要	WordPress 用プラグイン「Ninja Forms」には、信頼できない POST の値をアンシリアライズする問題に起因する PHP オブジェクトインジェクションの脆弱性が存在します。
想定される影響	遠隔の第三者によって、任意の PHP コードを実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、対策版へアップデートしてください。開発者は、本脆弱性の対策アップデートとして Version 2.9.43 を、また 2.9.36 から 2.9.42 までのそれぞれのバージョンの対策版 (2.9.36.1、2.9.37.1 など) をリリースしています。また、その他の脆弱性を修正した Version 2.9.45 へのアップデートを推奨しています。
公表日	2016年5月13日0:00
登録日	2016年5月13日12:06
最終更新日	2016年6月1日17:01

CVSS3.0 : 警告
スコア	5.6
ベクター	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS2.0 : 警告
スコア	6.8
ベクター	AV:N/AC:M/Au:N/C:P/I:P/A:P

影響を受けるシステム

WP Ninjas, LLC.

Ninja Forms Version 2.9.36 から 2.9.42 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1209	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1209
National Vulnerability Database (NVD)
2	CVE-2016-1209	https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1209

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	名前	URL
Ninja Forms
1	Important Security Update or You Always Hurt the Ones You Love	https://ninjaforms.com/important-security-update-always-hurt-ones-love/
2	Ninja Forms - WordPress Plugins	https://wordpress.org/plugins/ninja-forms/

その他

No	名前	URL
JVN
1	JVN#44657371	https://jvn.jp/jp/JVN44657371/index.html
関連文書
2	Ninja Forms <= 2.9.42 Multiple Critical Security Vulnerabilities	http://www.pritect.net/blog/ninja-forms-2-9-42-critical-security-vulnerabilities

変更履歴

No	変更内容	変更日
0	[2016年05月13日] 掲載 [2016年05月16日] 概要：謝辞を削除 [2016年06月01日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-1209) を追加参考情報：関連文書 (Ninja Forms <= 2.9.42 Multiple Critical Security Vulnerabilities) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-1209

概要	The Ninja Forms plugin before 2.9.42.1 for WordPress allows remote attackers to conduct PHP object injection attacks via crafted serialized values in a POST request.
公表日	2016年5月15日0:59
登録日	2021年1月26日14:06
最終更新日	2024年11月21日11:45

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:ninjaforms:ninja_forms::::::wordpress::*			2.9.42

関連情報、対策とツール

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN44657371/index.html		Vendor Advisory
2	http://jvn.jp/en/jp/JVN44657371/index.html		Vendor Advisory
3	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000064		Vendor Advisory
4	http://jvndb.jvn.jp/jvndb/JVNDB-2016-000064		Vendor Advisory
5	http://packetstormsecurity.com/files/137211/WordPress-Ninja-Forms-Unauthenticated-File-Upload.html		Exploit
6	http://packetstormsecurity.com/files/137211/WordPress-Ninja-Forms-Unauthenticated-File-Upload.html		Exploit
7	http://www.pritect.net/blog/ninja-forms-2-9-42-critical-security-vulnerabilities
8	http://www.pritect.net/blog/ninja-forms-2-9-42-critical-security-vulnerabilities
9	http://www.rapid7.com/db/modules/exploit/unix/webapp/wp_ninja_forms_unauthenticated_file_upload		Exploit
10	http://www.rapid7.com/db/modules/exploit/unix/webapp/wp_ninja_forms_unauthenticated_file_upload		Exploit
11	https://ninjaforms.com/important-security-update-always-hurt-ones-love/
12	https://ninjaforms.com/important-security-update-always-hurt-ones-love/
13	https://wordpress.org/plugins/ninja-forms/changelog/
14	https://wordpress.org/plugins/ninja-forms/changelog/
15	https://wpvulndb.com/vulnerabilities/8485
16	https://wpvulndb.com/vulnerabilities/8485

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html