WordPress用、レスポンシブスライダー「Smooth Slider」にSQLインジェクションの脆弱性。

webページにスライダーをセットしているサイトは結構多いのですが、同時に脆弱性が発見されやすいのも、スライダーのプラグインです。

JVNによると、3種類のスライダーに、脆弱性が報告されています。

いずれの脆弱性も、SQLインジェクションに関するもの。

NVD値は6.5、CVSS v3による深刻度は8.8です。

基本値: 6.5 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃前の認証要否: 単一
機密性への影響(C): 部分的
完全性への影響(I): 部分的
可用性への影響(A): 部分的

[参考] CVSS v3 による深刻度
基本値: 8.8 (重要) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 低
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高

 

さて、その中でも比較的利用者数が多いとみられるプラグインが、Smooth Sliderです。

日本語での紹介記事も幾つか。

 

—-以下引用—-

 

レスポンシブなコンテンツスライダー/WPプラグイン「Smooth Slider」(楽々WordPressプラグイン)

<主な特徴>

  • レスポンシブデザイン
  • 6つのアニメーション効果
  • テンプレートタグ、ショートコード、ウイジェットで利用
  • 管理画面でプレビューが確認できる
  • 管理画面で設定できる
  • HTMLやCSSの知識はあまり必要ない

 

WordPressコンテンツスライダーSmooth Slider使い方(GLOW FACTRY)

こちらのスライダープラグインは、【レスポンシブ】に対応しており、投稿した記事の画像と本文付きのコンテンツスライダーを簡単に実装出来るプラグインとなっています。
その他にもカテゴリー別・画像のみのスライドも管理なども出来ます。

スライドショーの設定も管理画面から細かく出来ますので、自分好みのスライド作成だって出来ます。

 

—-引用おわり—-

 

SQLインジェクションの脆弱性は、ツールによる攻撃が容易に可能なので、攻撃を受ける可能性が非常に高い脆弱性の一つです。

Smooth Slider 2.8.6 までのバージョンには脆弱性が存在しますので、最新版である2.8.7にアップデートをオススメいたします。

 

参考:http://www.defensecode.com/advisories/DC-2018-01-004_WordPress_Smooth_Slider_Plugin_Advisory.pdf

LINEで送る
Pocket

こんな記事も読まれています