【plugin】『Page Restriction WordPress (WP) – Protect WP Pages/Post』(versions 1.3.4 以下) Protection Mechanism Bypassの脆弱性


WordPress 用の Page Restriction WordPress (WP) – Protect WP Pages/Post プラグインは、1.3.4 までのすべてのバージョンにおいて情報漏洩の脆弱性があります。これは、ページが非公開に設定されている場合に、プラグインが REST API 経由でのページへのアクセスを適切に制限していないことが原因です。これにより、認証されていない攻撃者が保護されたページを閲覧することが可能になってしまいます。ベンダーは、投稿とページにはREST APIによる保護を実装せず、制限をサイトのフロントエンドにのみ適用することを決定しました。ベンダーの解決策は、ダッシュボード全体に通知を追加することであり、REST APIをカバーするためにWordPress REST API Authenticationプラグインをインストールすることを推奨している。




This record contains material that is subject to copyright

Copyright 2012-2024 Defiant Inc.

License:Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.