WordPress 4.5.3 Audio Playlist クロスサイトスクリプティング

履歴差分リンクするjsonxmlCTI

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
3.2	$0-$5k	0.00

要約情報

このたび、WordPress 4.5.3において、問題があるに分類される脆弱性が見つかりました。影響を受けるのは、コンポーネント【Audio Playlist】の未知の関数です。未知の値で改ざんすることが、クロスサイトスクリプティングを突く攻撃に繋がります}。攻撃はリモートで開始される場合があります。入手できるエクスプロイトツールはありません。影響を受けているコンポーネントのアップグレードを推奨します。

詳細情報

このたび、WordPress 4.5.3において、問題があるに分類される脆弱性が見つかりました。影響を受けるのは、コンポーネント【Audio Playlist】の未知の関数です。未知の値で改ざんすることが、クロスサイトスクリプティングを突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-80 につながります。この弱点は 2017年03月07日に発表されました、Yorick Kosterによって、WordPress audio playlist functionality is affected by Cross-Site Scriptingとして、Mailinglist Postとして（Full-Disclosure）。アドバイザリーは seclists.org から入手可能です。

攻撃はリモートで開始される場合があります。テクニカルな情報はありません。この脆弱性の普及度は平均未満です。入手できるエクスプロイトツールはありません。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。この脆弱性は、MITRE ATT&CKプロジェクトによって T1059.007 に割り当てられました。

未定義に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$5k-$25kでした。

4.7.3にアップグレードすることで、本問題を解消できます。影響を受けているコンポーネントのアップグレードを推奨します。