60万ダウンロード、Fancyboxプラグインに脆弱性、既に被害拡大中。

WordPressサイトの画像にエフェクトを付け加えることができるプラグイン、Fancyboxに脆弱性が発見されています。

画像の拡大表示をカッコよく|Fancybox for WordPress(日本語解説記事)

「Fancybox for WordPress」はWordpressに貼り付けた画像、写真を拡大させるときにカッコよく表示させるためのプラグインです。

 

既に被害の報告もされており、ITmediaで報じられています。

WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行

セキュリティ企業Sucuriの2月4日付ブログによると、WordPressを使ったWebサイトでマルウェアが出回っているとの報告があり、フォーラムサイトでも不正なJavaScriptが自分のWebサイトに挿入されたという訴えが相次いだ。

Sucuriが調べたところ、影響を受ける全サイトがFancyboxのプラグインを使っていることが分かったという

 

今回発見された脆弱性は、クロスサイトスクリプティング(XSS)によるもの。プラグインの利用サイトが多いだけに、被害も相当程度に上るようです。

117940 2015-02-04 Fancybox Plugin for WordPress /wp-admin/admin-post.php fancybox-for-wordpress Page Stored XSS Weakness

Fancybox Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the fancybox-for-wordpress page, as called by the /wp-admin/admin-post.php script, does not validate input before returning it to users. This may allow an authenticated remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

ベンダーからは報告の翌日、修正を施したアップデートが発表されたので、まだアップデートされていない方は至急の対応が望まれます。

なお、最新版は2月6日現在、3.04.のようです。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2021年9月14日

WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。

2021年5月14日

WordPress、バージョン5.7.1以下で脆弱性。対策バージョン5.7.2リリース済み。

2020年6月16日

WordPress、バージョン5.4.1以下で複数の脆弱性。対策バージョン5.4.2リリース済み。