IPA/WordPress 用プラグイン「Simple Download Monitor」における複数の脆弱性

2020年10月23日

省庁・団体名

独立行政法人情報処理推進機構

内容

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2020年10月21日に「WordPress 用プラグイン『Simple Download Monitor』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

・Tips and Tricks HQ が提供する「Simple Download Monitor」は、ダウンロードファイルを管理するための WordPress 用プラグインです。

・「Simple Download Monitor」には、次の複数の脆弱性が存在します。
▽ クロスサイト・スクリプティング - CVE-2020-5650
▽ SQL インジェクション - CVE-2020-5651

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 当該製品の管理画面にログインしているユーザのウェブブラウザ上で任意のスクリプトが実行される - CVE-2020-5650
▽ 当該製品の管理画面にログインしているユーザが細工された URL にアクセスすると、任意の SQL コマンドを実行される - CVE-2020-5651

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2020年7月30日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
・WordPress 用プラグイン「Simple Download Monitor」における複数の脆弱性

※もしくは、https://jvn.jp/jp/ から「JVN#31425618」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail: vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail: vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。