NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2016-15041

概要	The MainWP Dashboard – The Private WordPress Manager for Multiple Website Maintenance plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘mwp_setup_purchase_username’ parameter in versions up to, and including, 3.1.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
公表日	2024年10月16日16:15
登録日	2024年10月16日20:00
最終更新日	2024年10月16日16:15

CVSS3.1 : HIGH
スコア	7.2
ベクター	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更あり
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.wordfence.com/threat-intel/vulnerabilities/id/a9b1445f-3b6b-40fa-9a12-f55d63668dda?source=cve
2	https://klikki.fi/adv/mainwp.html
3	https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-mainwp-dashboard-cross-site-scripting-3-1-2/
4	https://web.archive.org/web/20191101060009/https%3A//klikki.fi/adv/mainwp.html

共通脆弱性一覧

JVN脆弱性情報

ユーザー入力を適切にサニタイズしないことにより情報漏えいが起きる脆弱性

タイトル	ユーザー入力を適切にサニタイズしないことにより情報漏えいが起きる脆弱性
概要	MainWP Dashboard（複数ウェブサイトを管理するためのプライベートなWordPressマネージャープラグイン、バージョン3.1.2までを含む）は、'mwp_setup_purchase_username' パラメータに対する入力値のサニタイズおよび出力のエスケープが不十分であるため、保存型クロスサイトスクリプティング（Stored XSS）に対して脆弱です。この脆弱性により、認証されていない攻撃者が任意のWebスクリプトをページ内に注入でき、ユーザーがそのページにアクセスした場合、スクリプトが実行される可能性があります。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年10月16日0:00
登録日	2025年12月25日17:19
最終更新日	2025年12月25日17:19

影響を受けるシステム

MainWP

mainwp dashboard 3.1.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-15041	https://www.cve.org/CVERecord?id=CVE-2016-15041
National Vulnerability Database (NVD)
2	CVE-2016-15041	https://nvd.nist.gov/vuln/detail/CVE-2016-15041

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	名前	URL
Internet Archive
1	https://web.archive.org/web/20191101060009/https%3A//klikki.fi/adv/mainwp.html	https://web.archive.org/web/20191101060009/https%3A//klikki.fi/adv/mainwp.html
Klikki
2	MainWP admin panel unauthenticated stored XSS \| Klikki	https://klikki.fi/adv/mainwp.html
Vulnerabilities - Acunetix
3	WordPress Plugin MainWP Dashboard Cross-Site Scripting (3.1.2) - Vulnerabilities - Acunetix	https://www.acunetix.com/vulnerabilities/web/wordpress-plugin-mainwp-dashboard-cross-site-scripting-3-1-2/
Wordfence Intelligence
4	MainWP Dashboard The Private WordPress Manager for Multiple Website Maintenance Plugin <= 3.1.2 - Stored Cross-Site Scripting	https://www.wordfence.com/threat-intel/vulnerabilities/id/a9b1445f-3b6b-40fa-9a12-f55d63668dda?source=cve

変更履歴

No	変更内容	変更日
1	[2025年12月25日] 掲載	2025年12月25日17:19