約400万ダウンロード、ビジュアルエディター強化プラグイン、TinyMCE Advanced に脆弱性

言わずと知れた、超有名プラグイン、TinyMCEに、脆弱性が報告されています。

 

111157 2014-09-08 TinyMCE Advanced Plugin for WordPress options-general.php Setting Reset CSRF

TinyMCE Advanced Plugin for WordPress contains a flaw as HTTP requests to options-general.php do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to reset settings to their default values.

 

クロスサイトリクエストフォージェリが可能な脆弱性とありますが、現在は9月10日に4.1.1の修正版が出ており、対策がされているようです。

至急のアップデートをおすすめします。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2021年9月14日

WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。

2021年5月14日

WordPress、バージョン5.7.1以下で脆弱性。対策バージョン5.7.2リリース済み。

2020年6月16日

WordPress、バージョン5.4.1以下で複数の脆弱性。対策バージョン5.4.2リリース済み。