【本体】メール送信されたパスワードリセット用リンクがパスワード変更後も期限切れにならない脆弱性
危険度
8.1
WordPress本体
JVNDB-2020-005008 2020年8月31日
対象:5.4.1 未満 要バージョンアップ
想定される 影響
WordPressではパスワードをリセットする際、登録済みのメールアドレス宛にパスワードリセット用のアドレス(URL)を送信する機能があり、自動的に発行されたURLからパスワードの再設定を行います。安全のため、本来発行されたURLは一定期間を経過後に失効するべきですが、期限切れとならず有効な状態のままとなる脆弱性が「JVNDB-2020-005008」になります。

何らかの手法により発行されたURLに悪意のある第三者がアクセスした場合、パスワードを書き換えられ、WordPressのアクセス権限が奪われてしまい、WordPress内に格納された情報の漏洩、Webサイトの改ざんに繋がる恐れがあります。
対象となる バージョン
WordPress 5.4.1 未満
対策
5.4.2以降、または最新バージョンへの更新

Check WordPress 自社サイトのWordPressの
有無を確認

VulnerabilityWordPress脆弱性
危険度ランキング

35%以上のWebサイトに導入されているシステムです。
WordPress本体

危険度

6.8

危険度

6.1

2022年11月8日
対象:WordPress 6.0~6.0.2 のバージョン 要バージョンアップ
WordPressプラグイン

危険度

10.0

2022年5月6日
対象:School Management Pro 9.9.7よりも前のバージョン 要バージョンアップ

危険度

9.8

2021年2月12日
対象:File Manager 6.9 未満 要バージョンアップ

危険度

9.8

2022年6月20日
対象:Ninja Forms Contact Formの複数のバージョン 要バージョンアップ