公開日:2021/12/02 最終更新日:2022/02/17

JVN#09136401
WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性

概要

WordPress 用プラグイン Advanced Custom Fields には、複数の認証欠如の脆弱性が存在します。

影響を受けるシステム

  • Advanced Custom Fields 5.11 より前のバージョン
  • Advanced Custom Fields Pro 5.11 より前のバージョン

詳細情報

Delicious Brains が提供する WordPress 用プラグイン Advanced Custom Fields には、次に挙げる複数の認証欠如の脆弱性が存在します。

  • データベース閲覧に関わる認証の欠如 (CWE-862) - CVE-2021-20865
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3
    CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0
  • ユーザ一覧取得に関わる認証の欠如 (CWE-862) - CVE-2021-20866
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3
    CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0
  • フィールドグループ移動に関わる認証の欠如 (CWE-862) - CVE-2021-20867
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値: 4.3
    CVSS v2 AV:N/AC:L/Au:S/C:N/I:P/A:N 基本値: 4.0

想定される影響

編集者 (Editor) より低い権限 (購読者、寄稿者、投稿者) のユーザによって、下記のような影響を受ける可能性があります。

  • データベース上のアクセス権限のないデータを閲覧される - CVE-2021-20865
  • アクセス権限のない情報の一覧を窃取される - CVE-2021-20866
  • 利用権限のないフィールドグループの移動を行われる - CVE-2021-20867

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Advanced Custom Fields 5.11
  • Advanced Custom Fields Pro 5.11

ベンダ情報

ベンダ リンク
Delicious Brains Advanced Custom Fields
Edit content with Advanced Custom Fields for WordPress Developers.
Updates to ACF Field Functions in 5.11

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社イエラエセキュリティ 山崎 啓太郎 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2021-20865
CVE-2021-20866
CVE-2021-20867
JVN iPedia JVNDB-2021-000109

更新履歴

2022/01/05
[想定される影響]を更新しました。
2022/02/17
[ベンダ情報]に情報を追加しました。