| 概要 | The Kento Post View Counter plugin for WordPress is vulnerable to SQL Injection via the 'kento_pvc_geo' parameter in versions up to, and including, 2.8 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query. This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database. |
|---|---|
| 公表日 | 2024年10月16日16:15 |
| 登録日 | 2024年10月16日20:00 |
| 最終更新日 | 2024年10月16日16:15 |
| タイトル | Kento Post View CounterプラグインにおけるSQLインジェクションの脆弱性 |
|---|---|
| 概要 | WordPress 用の Kento Post View Counter プラグインには、ユーザーから提供される 'kento_pvc_geo' パラメータに対するエスケープ処理が不十分であり、既存の SQL クエリに十分な準備が施されていません。そのため、バージョン 2.8 まで(2.8 を含む)では SQL インジェクションの脆弱性が存在します。この脆弱性を悪用することで、認証されていない攻撃者が追加の SQL クエリを既存のクエリに挿入し、データベースから機密情報を抽出することが可能です。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年10月16日0:00 |
| 登録日 | 2025年12月25日17:02 |
| 最終更新日 | 2025年12月25日17:02 |
| KentoThemes |
| kento-post-view-counter 2.8 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2025年12月25日] 掲載 |
2025年12月25日17:02 |