「関連のある記事」を表示させる有名プラグイン、Yet Another Related Posts Plugin に脆弱性

日本においても有名な「関連表示」プラグインであるYet Another Related Posts Pluginに脆弱性が報告されています。

日本語解説記事はこちら。

結構有名なプラグインであり、私もお世話になったこともありました。

121825 2015-05-07 Yet Another Related Posts Plugin for WordPress (YARPP) /wp-admin/options-general.php yarpp Page Option Manipulation CSRF

Yet Another Related Posts Plugin for WordPress (YARPP) contains a flaw as HTTP requests to the yarpp page, as called by /wp-admin/options-general.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to manipulate option settings.

発見された脆弱性はクロスサイトリクエストフォージェリに関するもの。脆弱性としては一般的です。

 

しかし、問題点は脆弱性の有無ではありません。現在、このプラグインは脆弱性を回避したバージョンが存在せず、WordPressのプラグインディレクトリからも削除されてしまっています。

最新版に更新される見込みが無いのであれば、このプラグインの利用は中止すべきでしょう。注意が必要です。

 

 

追記(2015/5/20):再び公開されています。

https://wordpress.org/plugins/yet-another-related-posts-plugin/

最新は4.2.5です。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2021年9月14日

WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。

2021年5月14日

WordPress、バージョン5.7.1以下で脆弱性。対策バージョン5.7.2リリース済み。

2020年6月16日

WordPress、バージョン5.4.1以下で複数の脆弱性。対策バージョン5.4.2リリース済み。