283万ダウンロード、代表的セキュリティプラグイン Wordfence Security Plugin に脆弱性

まさかセキュリティプラグインに脆弱性など…と思うかもしれませんが、報告されています。

Wordfence Scurityの日本語解説記事

 

111158 2014-09-08 Wordfence Security Plugin for WordPress Live Traffic Page HTTP Referer Header Stored XSS

Wordfence Security Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the Live Traffic page does not validate input to the HTTP referer header before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

 

9月4日に5.2.2にアップデートしたばかりですが、クロスサイトスクリプティングへの脆弱性が含まれており、攻撃者が任意のスクリプトを実行可能です。

現在のところ(9月11日)、対策が見つかっておらず、利用は危険と言えるでしょう。

 

 

 

LINEで送る
Pocket

こんな記事も読まれています