125万ダウンロード、リアルタイムアクセス解析ができる WP SlimStatプラグインに脆弱性

WordPressのサイトに、リアルタイムアクセス解析機能を備えるプラグインである、WP SlimStatプラグインに脆弱性が発見されています。

当プラグインはすでに100万回以上のダウンロード実績があるので、脆弱性の発見は影響が大きそうです。

 

116784 2015-01-06 WP SlimStat Plugin for WordPress /admin/view/wp-slimstat-reports.php s Parameter Reflected XSS

WP SlimStat Plugin for WordPress contains a flaw in the ‘Save Filters’ functionality that allows a reflected cross-site scripting (XSS) attack. This flaw exists because the admin/view/wp-slimstat-reports.php script does not validate input passed to the ‘fs[resource]’ parameter via the wp-slim-view page, as called by /wp-admin/admin.php, before returning it to users. This may allow a context-dependent attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser …

 

日本語解説記事によれば、プラグインの特長は6つ。

  1. Webサイトのトラフィックをリアルタイムにアクセス解析できる。
  2. 訪問者の情報(参照元・移動経路・検索キーワード・環境)等が分かる。
  3. 検索エンジンクローラーの訪問状況も分かる。
  4. 記事ごとのアクセス解析もできる。
  5. 期間を指定して統計情報を見ることができる。
  6. キャッシュ処理を行うプラグインとの相性が良い。(W3 Total Cache、WP SuperCache対応)

これだけだと、Googleアナリティクスとの違いがわかりませんが、プラグインのサイトに行くと

  • Real-time activity log, server latency, heatmaps, email reports, export data to Excel, and much more

とあり、サーバのレイテンシやヒートマップなどの機能もあり、高機能だとも言えるかも知れません。

 

なお、脆弱性については既に修正済みであり、最新版を入手することで脆弱性を回避できます。(現在の最新バージョンは3.9.2)

LINEで送る
Pocket

こんな記事も読まれています