「WPTouch」など多数のWordPressプラグインに脆弱性
WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。
米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。
実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を実現する「Broken-Link-Checker」、カレンダー機能を拡張する「My Calendar」、関連リンクを表示する「Related Posts for WordPress」など含まれる。
同社は、プラグイン開発者などと調整を実施。アップデートを呼びかけるとともに、WordPress利用者に対し、管理ダッシュボードからプラグインを最新へとアップデートするよう注意喚起を行っている。
これまでに同社が脆弱性を確認したプラグインは以下のとおり。
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
(Security NEXT - 2015/04/23 )
ツイート
関連リンク
PR
関連記事
「WordPress」に深刻な脆弱性 - セキュリティ更新が公開
IS同調による改ざん広がる - 狙いはCMS管理の甘さ
WPの人気キャッシュプラグインに脆弱性 - 早急に更新を
WP用プラグイン「All in One SEO Pack」で情報漏洩のおそれ
WordPress向けテーマ「flashy」に脆弱性 - 利用停止を
WP人気SEOプラグインにブラインドSQLiやCSRFの脆弱性
WordPressの人気プラグイン「FancyBox」に深刻な脆弱性
ISIS名乗る改ざん、WPプラグインの脆弱性を攻撃か
WordPress向けセキュリティプラグインに複数の脆弱性
WordPressのCAPTCHAプラグイン2種に脆弱性