← 戻る
CVE-2025-11262
high
CVSS 7.2
The Link Whisper Free plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the...
概要
The Link Whisper Free plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the...
AI要約 openai / gpt-4o
WordPress用のLink Whisper Freeプラグインは、バージョン0.9.0までのすべてのバージョンで、保存型クロスサイトスクリプティング(Stored XSS)攻撃に対して脆弱です。user_idパラメーターの不十分な入力サニタイズと出力エスケープが原因で、認証されていない攻撃者が任意のウェブスクリプトをインジェクトでき、それがユーザーがアクセスするたびに実行されます。
❓ 何が問題か
この脆弱性は、Link Whisper Freeプラグインにおける保存型クロスサイトスクリプティング(SQLi)です。
📍 影響範囲
WordPress用のLink Whisper Freeプラグインのすべてのバージョンで、user_idパラメータに影響します。
🔥 重要度
認証されていない攻撃者が任意のスクリプトを注入し、ユーザー訪問時に実行可能です。
🔧 修正方法
プラグインをアップデートし、入力サニタイズと出力エスケープを適切に実装する必要があります。
🛡️ 暫定回避
情報なし
🔍 検知方法
既存のスクリプトポリシーを見直すことで影響を確認できます。