【重要】2つの有名セキュリティプラグイン(合計180万ダウンロード)に脆弱性

セキュリティを高めるはずの【セキュリティプラグイン】に脆弱性がある…そんな冗談のような事態が発生しています。

脆弱性が発見されたプラグインは以下の2つです。

 

1.BulletProof Securiy

約130万ダウンロードの定番セキュリティプラグインです。クロスサイトスクリプティングに関する脆弱性が報告されました。

112652 2014-10-03 BulletProof Security Plugin for WordPress system-info.php wp_remote_get Parameter XSS

BulletProof Security Plugin for WordPress contains a flaw that allows a cross-site scripting (XSS) attack. This flaw exists because the system-info.php script does not validate input to the ‘wp_remote_get’ parameter before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

脆弱性が発見されたのはバージョン50.8ですが、現在は50.9にアップデートされています。

ただし、50.9がリリースされた日付が10月1日であるため、10月3日に報告されている脆弱性が解決されているかどうかは、検証を必要とします。

 

2.All In One WP Security & Firewall

こちらは約50万ダウンロードのプラグインです。こちらは以前にブログでも紹介しています。

なお、2件の脆弱性が報告されています。

112624 2014-10-02 All In One WordPress Security and Firewall Plugin for WordPress /wp-admin/admin.php 404 Detection Redirect URL Input Field Stored XSS

All In One WordPress Security and Firewall Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the /wp-admin/admin.php script does not validate input to the 404 detection redirect URL input field before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

112625 2014-10-02 All In One WordPress Security and Firewall Plugin for WordPress /wp-admin/admin-ajax.php File Name Error Logs URL Input Field Stored XSS

All In One WordPress Security and Firewall Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the /wp-admin/admin-ajax.php script does not validate input to the file name error logs URL input field before returning it to users. This may allow a remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

バージョン3.8.3にクロスサイトスクリプティングに関する脆弱性が2件報告されていますが、既に最新版3.8.4が10月4日に配布されており、脆弱性が解決されております。ご利用の方はバージョンアップを推奨です。

 

LINEで送る
Pocket

こんな記事も読まれています