Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「WPTouch」など多数のWordPressプラグインに脆弱性

WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。

米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。

実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を実現する「Broken-Link-Checker」、カレンダー機能を拡張する「My Calendar」、関連リンクを表示する「Related Posts for WordPress」など含まれる。

同社は、プラグイン開発者などと調整を実施。アップデートを呼びかけるとともに、WordPress利用者に対し、管理ダッシュボードからプラグインを最新へとアップデートするよう注意喚起を行っている。

これまでに同社が脆弱性を確認したプラグインは以下のとおり。

Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms

(Security NEXT - 2015/04/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WordPress 5.4.2」がリリース - 複数脆弱性を修正
2019年のフィッシング報告は約5.6万件 - 前年の2.8倍に
WP向けプラグイン「Paid Memberships Pro」にSQLi脆弱性
WP向けプラグイン「Elementor Pro」に深刻な脆弱性 - ゼロデイ攻撃で発覚
セキュリティアップデート「WordPress 5.4.1」がリリース
「WordPress」向けメディア管理プラグインに脆弱性
WP向けプラグイン「Contact Form 7 Datepicker」に脆弱性 - 更新予定なく削除を
認証プラットフォームの「WordPress」向けプラグインに5件の脆弱性
レンサバで運営されるウェブへの攻撃、約半数が「SQLi」
「WordPress」用決済プラグインに支払バイパスのおそれ