80万ダウンロード、Ninja formsプラグインに脆弱性

入力フォームを簡単にカスタマイズできるプラグイン、Ninja formsプラグインに脆弱性が報告されています。

118233 2015-02-11 Ninja Forms Plugin for WordPress /wp-admin/admin-ajax.php ninja_forms_ajax_submit Action ninja_forms_field_1 Parameter Reflected XSS

Ninja Forms Plugin for WordPress contains a flaw that allows a reflected cross-site scripting (XSS) attack. This flaw exists because the ninja_forms_ajax_submit action, as called by the /wp-admin/admin-ajax.php script, does not validate input to the ‘ninja_forms_field_1’ POST parameter before returning it to users. This may allow a context-dependent attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

無料で使えるプラグインとしては高機能な方に分類されますが、操作や設定が楽であり、重宝します。なお、デモサイトが用意されており、設定画面などを実際に触って確かめることも出来ます。

http://demo.ninjaforms.com/8kah2bgkj08ncnn/#ninja-demo

 

解説動画はこちら

 

 

脆弱性は既に修正済みであり、最新版を使えば問題ありません。

 

 

LINEで送る
Pocket

こんな記事も読まれています