- 2015年2月13日
- WordPress脆弱性情報
80万ダウンロード、Ninja formsプラグインに脆弱性
入力フォームを簡単にカスタマイズできるプラグイン、Ninja formsプラグインに脆弱性が報告されています。
118233 | 2015-02-11 | Ninja Forms Plugin for WordPress /wp-admin/admin-ajax.php ninja_forms_ajax_submit Action ninja_forms_field_1 Parameter Reflected XSS | |||
Ninja Forms Plugin for WordPress contains a flaw that allows a reflected cross-site scripting (XSS) attack. This flaw exists because the ninja_forms_ajax_submit action, as called by the /wp-admin/admin-ajax.php script, does not validate input to the ‘ninja_forms_field_1’ POST parameter before returning it to users. This may allow a context-dependent attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server. |
無料で使えるプラグインとしては高機能な方に分類されますが、操作や設定が楽であり、重宝します。
脆弱性は既に修正済みであり、最新版を使えば問題ありません。