- 2014年9月11日
- WordPress脆弱性情報
283万ダウンロード、代表的セキュリティプラグイン Wordfence Security Plugin に脆弱性
まさかセキュリティプラグインに脆弱性など…と思うかもしれませんが、報告されています。
111158 | 2014-09-08 | Wordfence Security Plugin for WordPress Live Traffic Page HTTP Referer Header Stored XSS | |||
Wordfence Security Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the Live Traffic page does not validate input to the HTTP referer header before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
9月4日に5.2.2にアップデートしたばかりですが、クロスサイトスクリプティングへの脆弱性が含まれており、攻撃者が任意のスクリプトを実行可能です。
現在のところ(9月11日)、対策が見つかっておらず、利用は危険と言えるでしょう。