60万ダウンロード、Fancyboxプラグインに脆弱性、既に被害拡大中。

WordPressサイトの画像にエフェクトを付け加えることができるプラグイン、Fancyboxに脆弱性が発見されています。

画像の拡大表示をカッコよく|Fancybox for WordPress(日本語解説記事)

「Fancybox for WordPress」はWordpressに貼り付けた画像、写真を拡大させるときにカッコよく表示させるためのプラグインです。

 

既に被害の報告もされており、ITmediaで報じられています。

WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行

セキュリティ企業Sucuriの2月4日付ブログによると、WordPressを使ったWebサイトでマルウェアが出回っているとの報告があり、フォーラムサイトでも不正なJavaScriptが自分のWebサイトに挿入されたという訴えが相次いだ。

Sucuriが調べたところ、影響を受ける全サイトがFancyboxのプラグインを使っていることが分かったという

 

今回発見された脆弱性は、クロスサイトスクリプティング(XSS)によるもの。プラグインの利用サイトが多いだけに、被害も相当程度に上るようです。

117940 2015-02-04 Fancybox Plugin for WordPress /wp-admin/admin-post.php fancybox-for-wordpress Page Stored XSS Weakness

Fancybox Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the fancybox-for-wordpress page, as called by the /wp-admin/admin-post.php script, does not validate input before returning it to users. This may allow an authenticated remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

ベンダーからは報告の翌日、修正を施したアップデートが発表されたので、まだアップデートされていない方は至急の対応が望まれます。

なお、最新版は2月6日現在、3.04.のようです。

 

 

LINEで送る
Pocket

こんな記事も読まれています