207万ダウンロード、ツイッター連携プラグイン WP to Twitter プラグインに脆弱性

207万ダウンロードを誇る、ツイッター連携プラグイン、WP to Twitterに脆弱性が報告されています。

日本語解説記事

111216 2014-09-08 WP to Twitter Plugin for WordPress admin-ajax.php Tweet Creation CSRF

WP to Twitter Plugin for WordPress contains a flaw as HTTP requests to admin-ajax.php do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to create and send tweets.

 

クロスサイトリクエストフォージェリによるものですが、最新版の2.9.3に脆弱性が発見されていることから、まだ対策はありません。

安全のためには利用の停止を行ったほうが良いでしょう。

LINEで送る
Pocket

こんな記事も読まれています