- 2018年3月28日
- WordPress脆弱性情報
WordPressの会員サイト作成プラグイン「Ultimate Member」にまた脆弱性
WordPressで、なんとか会員制サイトをつくりたい、という要望は結構あるようです。
ググってみてください。
あるわあるわ、次々と出てきます。
「プラグイン」で手軽に、ECサイトや会員制サイトをつくるのは、一つの方法としてはありです。
が、そのプラグインがほんとうに安全かどうか、どうやって確かめるのでしょう?
特に、個人情報を扱うような会員制サイトで、セキュリティの問題は致命的です。
「手軽にプラグインで」も悪くはないのですが、きちんとした実績があり、アップデートを行っているプラグイン、かつサポートのあるものを使う」
のは、サイトの運営者として当然の配慮でしょう。
その「実績」という意味で、「Ultimate Member」というプラグインは、ある程度の信頼が置けます。
アクティブインストール数は10万以上、最新版へのアップデートも行っています。
なお、昨年にもこのプラグインは脆弱性が出ています。
WordPressで会員制コミュニティサイトを作れるプラグイン「Ultimate Member」に脆弱性
しかし。これはある意味「安全」といえるのです。
脆弱性が指摘され、都度アップデートがされているのですから。
逆に、あまり使われていないような、脆弱性についての報告もないようなプラグインは、かえって危険であると言えます。
JVNによる脆弱性報告は、以下のとおりです。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-002091.html
WordPress 用 UltimateMember プラグインには、クロスサイトスクリプティングの脆弱性が存在します。
CVSS v3 による深刻度
基本値: 6.1 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 要
影響の想定範囲: 変更あり
機密性への影響(C): 低
完全性への影響(I): 低
可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 中
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): 部分的
可用性への影響(A): なし
影響を受けるシステム
Ultimate Member 2.0
要アップデート、です。