NVD脆弱性詳細
Exploit、PoC検索
CVE-2014-5347
概要

Multiple cross-site request forgery (CSRF) vulnerabilities in the Disqus Comment System plugin before 2.76 for WordPress allow remote attackers to hijack the authentication of administrators for requests that conduct cross-site scripting (XSS) attacks via the (1) disqus_replace, (2) disqus_public_key, or (3) disqus_secret_key parameter to wp-admin/edit-comments.php in manage.php or that (4) reset or (5) delete plugin options via the reset parameter to wp-admin/edit-comments.php.

公表日 2014年8月20日4:55
登録日 2021年1月26日15:14
最終更新日 2024年11月21日11:11
CVSS2.0 : MEDIUM
スコア 6.8
ベクター AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 はい
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:disqus:disqus_comment_system:2.55:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.68:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.45:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.52:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.69:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.46:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.40:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.48:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.49:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.67:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.74:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.65:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.60:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.43:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:*:*:*:*:*:wordpress:*:* 2.75
cpe:2.3:a:disqus:disqus_comment_system:2.72:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.50:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.42:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.63:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.54:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.70:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.66:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.62:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.71:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.61:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.64:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.53:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.51:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.44:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.41:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.47:*:*:*:*:wordpress:*:*
cpe:2.3:a:disqus:disqus_comment_system:2.73:*:*:*:*:wordpress:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
WordPress 用 Disqus Comment System プラグインにおけるクロスサイトリクエストフォージェリの脆弱性
タイトル WordPress 用 Disqus Comment System プラグインにおけるクロスサイトリクエストフォージェリの脆弱性
概要

WordPress 用 Disqus Comment System プラグインには、クロスサイトリクエストフォージェリの脆弱性が存在します。

想定される影響 第三者により、 管理者の認証をハイジャックされ、manage.php の wp-admin/edit-comments.php の (1) disqus_replace、(2) disqus_public_key、(3) disqus_secret_key パラメータを介して、クロスサイトスクリプティング (XSS) 攻撃を実行される、あるいは reset パラメータを介して、プラグインオプションを (4) リセット、または (5) 削除される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2014年6月24日0:00
登録日 2014年8月21日14:37
最終更新日 2014年8月21日14:37
影響を受けるシステム
Disqus
Disqus Comment System 2.76 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2014年08月21日]
  掲載		 2018年2月17日10:37