![ノートパソコンでサイバー攻撃を防御する人の手元。画面には、バイナリコードと南京錠が表示されています。](https://trustbrain.jp/wp-content/uploads/cyber-attack-countermeasures_488100681.jpg)
電子メール マーケティング プラグイン WordPressプラグイン Brevo (旧 Sendinblue) に重大な脆弱性が発見されました。
対策バージョン 3.1.78(2024/3/21リリース) 以降に更新してください。
想定される事象
想定される事象 | この脆弱性を悪用すると、WordPressの管理サイト対する権限がなくとも、ウェブページにスクリプト等を埋め込まれてしまうため、サイト閲覧者に対して下記の被害を及ぼす恐れがあります。 ・本物サイト上に偽のページが表示される ・ブラウザが保存しているCookieを取得される ・任意のCookieをブラウザに保存させられる (発見された脆弱性: クロスサイト・スクリプティング) |
---|---|
発生バージョン | Brevo 3.1.77(2024/2/7リリース) を含む前のバージョン |
CVE-ID / 公開日 | CVE-2024-35668 / 2024/06/04 |
ソフトウェア脆弱性情報の著作権に関する注意事項
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage:
MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
対策
![「Support」、「Technical」、「Customer」、「Service」の文字 と 技術的なWordPress顧客サポート](https://trustbrain.jp/wp-content/uploads/tb-wordpress-support-300x300.jpg)
WordPress セキュリティ対策保守パック
当社の「WordPressセキュリティ対策お任せ保守パック」をご利用のお客様において、プラグイン Brevo が対策バージョンに更新されていない場合は、メールにて順次ご案内しております。
WordPress Brevo プラグイン情報 (2023年6月10日 13時点)
最新版 バージョン | 3.1.80 (2024/5/9リリース) |
WordPress バージョン | 4.4またはそれ以降 検証済み最新バージョン : 6.5.4 |
有効インストール数 | 100,000+ |
プラグイン ページ (日本語) | Newsletter, SMTP, Email marketing and Subscribe forms by Brevo (formely Sendinblue) – WordPress プラグイン | WordPress.org 日本語 |
開発者 ページ (英語) | Brevo (formerly Sendinblue) | Email Marketing, Automation & CRM |