OSVDBによれば、WP Affiliate Managerプラグインに、クロスサイトスクリプティングを許してしまう脆弱性があると報告されています。

WP Affiliate Manager（公式サイト）

5月7日14時現在、対策が公開されていないとうことで、プラグインの使用を一旦見合わせたほうが良さそうです。

”WP Affiliate Manager Plugin for WordPress contains a flaw that allows a cross-site scripting (XSS) attack. This flaw exists because the login.php script does not validate input to the ‘msg’ GET parameter before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.”

 

リモートの攻撃者が任意のスクリプトを実行し、ユーザーセッションを乗っ取ることが可能とのこと。