- 2015年4月21日
- WordPress脆弱性情報
10万インストール、アクセス解析プラグイン、WP Statisticsに脆弱性
そこそこ有名なアクセス解析プラグイン、WP Statisticsに、脆弱性が報告されています。
このプラグインはGoogleアナリティクスと同じようにサイトのアクセスに関する情報を提供してくれますが、
- WordPressの権限に連動したレポート閲覧権限の設定
- レポートヴィジェットの表示
など、WordPressならではの機能もあり、サイト管理者にとってはかゆいところに手が届く仕様です。
詳しい日本語解説サイト
さて、脆弱性の内容ですが蓄積型XSSとなります。
蓄積型XSS(あるいは持続型XSS)とは、攻撃者の用意したスクリプトがいったんWebサーバー内に格納され、特定のページを被害者が開いた場合にそのスクリプトが実行されてしまうタイプのXSSです。
典型例としては、Webメールや掲示板でのXSSが挙げられます。蓄積型のXSSは、攻撃を仕掛けたタイミングと実際に被害が発生するタイミングに時間差があっても名称通り永続化して攻撃が成立するなど、反射型XSSに比べ被害が大きくなることが特徴です。
(@IT)
120880 | 2015-04-15 | WP Statistics Plugin for WordPress Settings Page Multiple Unspecified Parameter Stored XSS | |||
WP Statistics Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the settings page does not validate input to multiple unspecified parameters before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
幸いなことに、ベンダーの対応は早く、現在の最新版を使えば脆弱性を回避可能です。(最新版は2015年4月21日現在、9.1.3)