「関連のある記事」を表示させる有名プラグイン、Yet Another Related Posts Plugin に脆弱性

日本においても有名な「関連表示」プラグインであるYet Another Related Posts Pluginに脆弱性が報告されています。

日本語解説記事はこちら。

結構有名なプラグインであり、私もお世話になったこともありました。

121825 2015-05-07 Yet Another Related Posts Plugin for WordPress (YARPP) /wp-admin/options-general.php yarpp Page Option Manipulation CSRF

Yet Another Related Posts Plugin for WordPress (YARPP) contains a flaw as HTTP requests to the yarpp page, as called by /wp-admin/options-general.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to manipulate option settings.

発見された脆弱性はクロスサイトリクエストフォージェリに関するもの。脆弱性としては一般的です。

 

しかし、問題点は脆弱性の有無ではありません。現在、このプラグインは脆弱性を回避したバージョンが存在せず、WordPressのプラグインディレクトリからも削除されてしまっています。

最新版に更新される見込みが無いのであれば、このプラグインの利用は中止すべきでしょう。注意が必要です。

 

 

追記(2015/5/20):再び公開されています。

https://wordpress.org/plugins/yet-another-related-posts-plugin/

最新は4.2.5です。

LINEで送る
Pocket

こんな記事も読まれています