７月１２日に、WordPress本体の脆弱性がosvdbに報告されています。

この脆弱性は、エディタープロファイルと、記事のタイトル入力フィールドへの入力をWordPressが検証していないため、クロスサイトスクリプティングが可能になるとのこと。

”WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the program does not validate input to the page and post title fields in the admin or editor profiles before returning it to users. This may allow an authenticated remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.”

 

WordPressはストアドクロスサイトスクリプティング（XSS）攻撃を可能にする欠陥が含まれています。プログラムがユーザーに応答を返す前の段階において、管理者またはエディターのプロファイルのページ、および記事のタイトル入力フィールドへの入力を検証しないため、この欠陥が存在します。

認証済みのリモートの攻撃者は、ブラウザとサーバ間の信頼関係の中で、ユーザーのブラウザセッションで任意のスクリプトコードを実行し、特別に細工されたリクエストを生成可能となります。

WordPress本体のアップデートがまたれますが、現在の所、対策はありません。