- 2014年9月11日
- WordPress脆弱性情報
207万ダウンロード、ツイッター連携プラグイン WP to Twitter プラグインに脆弱性
207万ダウンロードを誇る、ツイッター連携プラグイン、WP to Twitterに脆弱性が報告されています。
111216 | 2014-09-08 | WP to Twitter Plugin for WordPress admin-ajax.php Tweet Creation CSRF | |||
WP to Twitter Plugin for WordPress contains a flaw as HTTP requests to admin-ajax.php do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to create and send tweets. |
クロスサイトリクエストフォージェリによるものですが、最新版の2.9.3に脆弱性が発見されていることから、まだ対策はありません。
安全のためには利用の停止を行ったほうが良いでしょう。