Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WPTouch」など多数のWordPressプラグインに脆弱性

WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。

米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。

実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を実現する「Broken-Link-Checker」、カレンダー機能を拡張する「My Calendar」、関連リンクを表示する「Related Posts for WordPress」など含まれる。

同社は、プラグイン開発者などと調整を実施。アップデートを呼びかけるとともに、WordPress利用者に対し、管理ダッシュボードからプラグインを最新へとアップデートするよう注意喚起を行っている。

これまでに同社が脆弱性を確認したプラグインは以下のとおり。

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms

(Security NEXT - 2015/04/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WordPress」向けテーブル生成プラグインに脆弱性
「WordPress 4.8.3」が公開 - 修正不十分だった「SQLi脆弱性」に対応
「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
「24時間以内に対応しないとアカウント無効」 - 不安煽る偽Apple
「WordPress」のバックアップ用プラグインに脆弱性
WP向けプラグイン「Popup Maker」にXSSの脆弱性
CSSカスタマイズ用WordPressプラグインに脆弱性 - アップデートが公開
60万超のサイトで利用されるWordPress向け「ショートコード」追加プラグインに脆弱性
「WordPress」用プラグイン「Responsive Lightbox」に脆弱性
WordPress向けアクセス解析プラグインにSQLiの脆弱性