[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

「WPTouch」など多数のWordPressプラグインに脆弱性



「WPTouch」など多数のWordPressプラグインに脆弱性

WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。

米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。

実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を実現する「Broken-Link-Checker」、カレンダー機能を拡張する「My Calendar」、関連リンクを表示する「Related Posts for WordPress」など含まれる。

同社は、プラグイン開発者などと調整を実施。アップデートを呼びかけるとともに、WordPress利用者に対し、管理ダッシュボードからプラグインを最新へとアップデートするよう注意喚起を行っている。

これまでに同社が脆弱性を確認したプラグインは以下のとおり。

All In one SEO
Broken-Link-Checker
Download Monitor
Give
Google Analytics by Yoast
Gravity Forms
Jetpack
Multiple iThemes products including Builder and Exchange
Multiple Plugins from Easy Digital Downloads
My Calendar
Ninja Forms
P3 Profiler
Related Posts for WordPress
UpdraftPlus
WordPress SEO
WP-E-Commerce
WPTouch





FavoriteLoadingお気に入りAdd to favorites
WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を... WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を 悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。  WordPressの人気プラグイン「Jetpack」の脆弱性を修正する更新版が5月27日に公開された。脆弱性はコメ...
「WordPress 4.7.3」公開 – セキュリティ以外でも39件を修正... 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 2017年3月7日 11:59  WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロス...
WordPressのプラグイン「WP Super Cache」に深刻な脆弱性... WordPressのプラグイン「WP Super Cache」に深刻な脆弱性 悪用されれば管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるという。 Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
WordPress用モバイル対応プラグイン「WP Mobile Detector」にゼロデイ攻撃 &... WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開 「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。 ...
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた... 2015年9月25日 20時59分 Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた 今年2月、中国メーカーのLenovoが、販売しているノートパソコンへ密かに凶悪なアドウェアを混入していることが発覚しましたが、今回新たに、ユーザーデータを収集するソフトウェアを埋...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
WordPress向けテーマ「flashy」に脆弱性 – 利用停止を... WordPress向けテーマ「flashy」に脆弱性 - 利用停止を WordPress向けに提供されている「flashy」にクロスサイトスクリプティングの脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、脆弱性が含まれているのは「flashy...
WP人気SEOプラグイン「WordPress SEO by Yoast」にブラインドSQLiやCSR... WP人気SEOプラグインにブラインドSQLiやCSRFの脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。 同製品は、WordPressにおいてサーチエンジ...

コメントを残す