概要
Auth0の3.11.0、3.11.1、および3.11.2バージョンのWordPress Pluginでは、wleクエリパラメーターを適切にサニタイズしません。このため、攻撃者はログインページにクロスサイトスクリプティング(XSS)攻撃を仕掛けることが可能になります。
自分は影響を受けますか?
以下の条件がすべて当てはまる場合、この脆弱性によって影響を受けることになります。- 使用しているWordPress PluginのAuth0のバージョンが3.11.0、3.11.1または3.11.2である
-
[Basic settings(基本設定)]の下にある「Original Login Form on wp-login.php」設定が、以下の2つオプションのいずれかに設定されている。
- [Via a link under the Auth0 form(Auth0フォームの下のリンク経由)](デフォルトオプション)
- [When “wle” query parameter is present(“wle”クエリパラメーターがあるとき)]