CVE-2023-5982 in UpdraftPlus Plugin
要約
〜によって VulDB • 2026年06月26日
WordPress用バックアップ&移行プラグイン「UpdraftPlus: WordPress Backup & Migration Plugin」の全バージョン(1.23.10を含む)には、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が存在します。これは、「updraftmethod-googledrive-auth」アクションにおいてnonce検証が欠如しており、instance_idの検証も不十分であるためです。これにより、攻撃者は認証されていない状態で、管理者にリンクをクリックさせるなどの操作を促す偽造されたリクエストを送信することで、バックアップ送信先のGoogle Driveロケーションを変更することが可能になります。この脆弱性を利用すると、機密情報を含む可能性のあるサイトのバックアップデータを攻撃者が取得できる可能性があります。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.