10万ダウンロード、 Newsletter プラグインに脆弱性

WordPressのサイトにニュースレター機能を付加できるプラグイン、Newsletterに、脆弱性が発見されています。

ニュースレタープラグインの中では高機能のようで、

  • 無制限の統計情報
  • 無制限のメールトラッキング機能
  • サブスクリプションウィジェットの作成が可能
  • WordPressのユーザー登録と統合
  • プライバシーポリシーへの同意チェックボックス設置
  • 購読者の嗜好に合わせたキャンペーン実施
  • SMTP利用可能
  • HTMLとテキストのメッセージ
  • テーマ設定可能
  • 他言語化対応
  • システムテストのための診断パネル
  • フェイスブックなどの拡張モジュールの利用可能

と、なかなかいたれりつくせりです。

参考:日本語解説記事

 

さて、肝心の脆弱性ですが、オープンリダイレクト脆弱性のようです。外部の攻撃者が指定したURLにユーザーを誘導できてしまうというもの。

119170 2015-03-05 The Newsletter Plugin for WordPress do.php nr Parameter Open Redirect Weakness

The Newsletter Plugin for WordPress contains a flaw that allows a remote cross site redirection attack. This flaw exists because the application does not validate the ‘nr’ parameter upon submission to the do.php script. This could allow a user to create a specially crafted URL, that if clicked, would redirect a victim from the intended legitimate web site to an arbitrary web site of the attacker’s choosing. Such attacks are useful as the crafted URL initially appear to be a …

現在の最新バージョンは3.6.7ですが、これは2015年1月15日のリリースであり3月9日現在、脆弱性に対する対応ができておりません。

利用には注意が必要です。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています