WordPressのプラグイン「Archivist – Custom Archive Templates」には、CVE-2023-46194という脆弱性が存在します。
この脆弱性は、バージョン1.7.5以下で発見されており、現在は修正済みのバージョンは存在しません。
この脆弱性の種類は「Cross Site Scripting (XSS)」です。
XSSとは、攻撃者が悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることができる脆弱性です。
具体的には、このプラグインのカスタムアーカイブテンプレートにおいて、ユーザーが入力したデータが適切にエスケープされずに表示されるため、攻撃者はスクリプトを埋め込むことができます。
この脆弱性を悪用されると、攻撃者はユーザーのセッション情報や個人情報を盗み出したり、悪意のあるコンテンツを表示させたりすることが可能です。
また、被害を受けるのは管理者だけでなく、サイトの訪問者も含まれます。
現在、この脆弱性の修正済みバージョンは提供されていません。
したがって、このプラグインを使用しているユーザーは注意が必要です。
セキュリティ対策としては、プラグインのアップデートがリリースされるまで、一時的にこのプラグインを無効化することを検討することが重要です。
また、他のセキュリティ対策としては、常に最新のWordPressおよびプラグインのバージョンを使用し、信頼できるソースからのみプラグインをダウンロードすることも重要です。
WordPressの脆弱性は、攻撃者にとって魅力的な標的となることが多いため、ユーザーは常にセキュリティに注意を払う必要があります。
この脆弱性に関しては、プラグインの開発者が修正を行うことを期待するしかありません。