- 2015年3月16日
- WordPress脆弱性情報
100万ダウンロード以上、Google Analytics by Yoast にも、脆弱性
WordPress SEO by Yoast につづき、Google Analytics by Yoastにも脆弱性が発見されています。
日本語解説記事は以下
Google Analytics by Yoastを使ってWordPressにGoogleアナリティクスを簡単に導入する方法
WordPressのアクセス解析用プラグイン「Google Analytics by Yoast」の使い方
脆弱性はストアドクロスサイトスクリプティングに関するもの。
119334 | 2015-03-09 | Google Analytics by Yoast Plugin for WordPress admin/class-admin.php manual_ua_code_field Field Stored XSS Weakness | |||
Google Analytics by Yoast Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the admin/class-admin.php script does not validate input to the manual_ua_code_field field before returning it to users. This may allow an authenticated remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
なお、脆弱性データベースによれば、現在のところ脆弱性を回避するパッチや修正プログラムは発表されていません。
もし修正があれば、ソースコードリポジトリを参照し、手動で行う必要があります。
現時点では、セキュリティ上問題があるプラグインですので、利用には注意が必要です。