- 2015年7月8日
- WordPress脆弱性情報
また、Slider Revolution プラグインに脆弱性が発見される。
7月2日、JVN(Japan Vulnerability Notes)から、Slider Revolutionプラグインに関する脆弱性が発見されました。
WordPress 用 Slider Revolution (revslider) プラグインには、クロスサイトスクリプティングの脆弱性が存在します。
CVSS による深刻度基本値: 4.3 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 中
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): 部分的
可用性への影響(A): なし
以前も話題になっていましたが、多機能でかなり使いやすいスライダーである一方、次々と新手の脆弱性が見つかることでも有名です。
最も有名なスライダープラグイン RevSlider プラグインを狙ったマルウェアが、すでに10万サイトを汚染。
厄介なところは、多くのWordPressテーマにデフォルトでこのプラグインが入っており、そして、テーマの一部としてこのプラグインが使われている場合、自動アップデートの対象外になってしまっている可能性があることです。
自動アップデートであれば、たいていの脆弱性は回避できますが、テーマを外部サイトで買ってきた場合など、自分たちのサイトにプラグインが入っているかどうかも知らないサイト管理者が数多くいることが予想されます。
一度、買ってきたテーマを用いている管理者は状況を確かめてみる必要があるでしょう。