【Plugin】『Profile Extra Fields by BestWebSoft』(versions 1.2.7 以下) Broken Access Controlの脆弱性

WordPressのプラグインであるProfile Extra Fields by BestWebSoftには、CVE-2023-4469という脆弱性が存在します。
この脆弱性は、バージョン1.2.7以下で発見されており、1.2.8で修正されています。

この脆弱性の種類は「Broken Access Control(アクセス制御の破損)」です。
具体的には、このプラグインにはユーザーがプロフィールの追加フィールドを編集する機能がありますが、バージョン1.2.7以下では、認証されていないユーザーでもこの機能を利用することができてしまいます。

この脆弱性を悪用されると、認証されていないユーザーがプロフィールの追加フィールドを編集することができ、不正な情報を登録する可能性があります。
また、このプラグインを利用している他のユーザーのプロフィール情報も改ざんされる可能性があります。

幸いにも、開発者はこの脆弱性を認識し、バージョン1.2.8で修正を行いました。
したがって、このプラグインを利用しているユーザーは、最新のバージョンにアップデートすることを強く推奨します。
アップデートにより、この脆弱性からの保護が行われ、プロフィール情報の安全性が確保されます。

脆弱性は常にセキュリティ上のリスクとなりますので、プラグインやソフトウェアの開発元からのアップデート情報には注意を払い、迅速に対策を行うことが重要です。

脆弱性情報を受け取る