- 2014年9月11日
- WordPress脆弱性情報
約400万ダウンロード、ビジュアルエディター強化プラグイン、TinyMCE Advanced に脆弱性
言わずと知れた、超有名プラグイン、TinyMCEに、脆弱性が報告されています。
111157 | 2014-09-08 | TinyMCE Advanced Plugin for WordPress options-general.php Setting Reset CSRF | |||
TinyMCE Advanced Plugin for WordPress contains a flaw as HTTP requests to options-general.php do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to reset settings to their default values. |
クロスサイトリクエストフォージェリが可能な脆弱性とありますが、現在は9月10日に4.1.1の修正版が出ており、対策がされているようです。
至急のアップデートをおすすめします。