10万ダウンロード、 Newsletter プラグインに脆弱性

WordPressのサイトにニュースレター機能を付加できるプラグイン、Newsletterに、脆弱性が発見されています。

ニュースレタープラグインの中では高機能のようで、

  • 無制限の統計情報
  • 無制限のメールトラッキング機能
  • サブスクリプションウィジェットの作成が可能
  • WordPressのユーザー登録と統合
  • プライバシーポリシーへの同意チェックボックス設置
  • 購読者の嗜好に合わせたキャンペーン実施
  • SMTP利用可能
  • HTMLとテキストのメッセージ
  • テーマ設定可能
  • 他言語化対応
  • システムテストのための診断パネル
  • フェイスブックなどの拡張モジュールの利用可能

と、なかなかいたれりつくせりです。

参考:日本語解説記事

 

さて、肝心の脆弱性ですが、オープンリダイレクト脆弱性のようです。外部の攻撃者が指定したURLにユーザーを誘導できてしまうというもの。

119170 2015-03-05 The Newsletter Plugin for WordPress do.php nr Parameter Open Redirect Weakness

The Newsletter Plugin for WordPress contains a flaw that allows a remote cross site redirection attack. This flaw exists because the application does not validate the ‘nr’ parameter upon submission to the do.php script. This could allow a user to create a specially crafted URL, that if clicked, would redirect a victim from the intended legitimate web site to an arbitrary web site of the attacker’s choosing. Such attacks are useful as the crafted URL initially appear to be a …

現在の最新バージョンは3.6.7ですが、これは2015年1月15日のリリースであり3月9日現在、脆弱性に対する対応ができておりません。

利用には注意が必要です。

 

LINEで送る
Pocket

こんな記事も読まれています