WordPressのテーマは、WordPressを利用して新規ブログを立ち上げる機会の多いwebサイト製作者にとって、常に関心の高いトピックの一つではないでしょうか。

数多あるWordPressテーマですが、一つ注意しないといけないのは、そのテーマが時より脆弱性に晒されてしまうことです。

このたび、「Gameplan – Event and Gym Fitness 」WordPress テーマにクロスサイトスクリプティング脆弱性が確認されました。

（HP:https://themeforest.net/item/gameplan-event-and-gym-fitness-wordpress-theme/5936266）

クロスサイトスクリプティング (XSS) の脆弱性は、以下の様に発生すると脆弱性対策情報サービスは解説しています。

1. 信頼できないデータが（一般的に Web リクエストから）Web アプリケーションに入力され、

2. Web アプリケーションが、この信頼できないデータを含む Web ページを動的に生成します。

3. その際 Web アプリケーションは、信頼できないデータに含まれる Web ブラウザで実行可能なコンテンツ (JavaScript、HTML タグ、HTML アトリビュート、マウスイベント、Flash、 ActiveX 等) を排除しません。

4. 一般ユーザが、Web ブラウザを介して生成されたページにアクセスします。この Web ページには、信頼できないデータを利用して挿入された悪意あるスクリプトが含まれています。

5. スクリプトが Web サーバの送った Web ページに由来して発生しているため、被害者の Web ブラウザは、この Web サーバのドメインのコンテキストの中で悪意あるスクリプトを実行します。

6. これは事実上、Web ブラウザの同一生成元ポリシの意図に違反しています。同一生成元ポリシは、あるドメインの中のスクリプトが、異なるドメインにおけるリソースへのアクセスやコードの実行が可能であってはならないことを提示するものです。

超簡単に言うと、情報を取得される、および情報を改ざんされる可能性があるということです。

ベンダーから最新のアップデートはまだ配布されていないようです。セキュリティ対策に自信のない方は利用を控えた方が良いでしょう。