- 2015年1月9日
- WordPress脆弱性情報
125万ダウンロード、リアルタイムアクセス解析ができる WP SlimStatプラグインに脆弱性
WordPressのサイトに、リアルタイムアクセス解析機能を備えるプラグインである、WP SlimStatプラグインに脆弱性が発見されています。
当プラグインはすでに100万回以上のダウンロード実績があるので、脆弱性の発見は影響が大きそうです。
116784 | 2015-01-06 | WP SlimStat Plugin for WordPress /admin/view/wp-slimstat-reports.php s Parameter Reflected XSS | |||
WP SlimStat Plugin for WordPress contains a flaw in the ‘Save Filters’ functionality that allows a reflected cross-site scripting (XSS) attack. This flaw exists because the admin/view/wp-slimstat-reports.php script does not validate input passed to the ‘fs[resource]’ parameter via the wp-slim-view page, as called by /wp-admin/admin.php, before returning it to users. This may allow a context-dependent attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser … |
日本語解説記事によれば、プラグインの特長は6つ。
- Webサイトのトラフィックをリアルタイムにアクセス解析できる。
- 訪問者の情報(参照元・移動経路・検索キーワード・環境)等が分かる。
- 検索エンジンクローラーの訪問状況も分かる。
- 記事ごとのアクセス解析もできる。
- 期間を指定して統計情報を見ることができる。
- キャッシュ処理を行うプラグインとの相性が良い。(W3 Total Cache、WP SuperCache対応)
これだけだと、Googleアナリティクスとの違いがわかりませんが、プラグインのサイトに行くと
- Real-time activity log, server latency, heatmaps, email reports, export data to Excel, and much more
とあり、サーバのレイテンシやヒートマップなどの機能もあり、高機能だとも言えるかも知れません。
なお、脆弱性については既に修正済みであり、最新版を入手することで脆弱性を回避できます。(現在の最新バージョンは3.9.2)