- 2018年3月20日
- WordPress脆弱性情報
XMLやCSVならどんなものでもインポートできます。9万アクティブインストールWP ALL Importプラグインに脆弱性。
なんのこっちゃ、という話なんですが。
9万アクティブインストール、という結構有名プラグイン、WP ALL Importに脆弱性が出ています。
このプラグインの優れたところは、「任意の」XML、CSVをWordpressに取り込めるところ。
つまり何でもあり、ということです。
“WP All Import は、レガシー CMS から WordPress へのコンテンツの移行、アフィリエイトデータフィードを使用したストアの構築、ライブの株式相場またはスポーツのスコアの表示、不動産ポータルの構築まで、あらゆるものに使用できます。”
かなり応用範囲は広そうなプラグインなので、利用者が多いのも頷けます。
さて、肝心の脆弱性ですが、例によってJVNによれば2つのクロスサイトスクリプティングに関する脆弱性が報告されています。
“Soflyy が提供する WordPress 用プラグイン WP All Import には、反射型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
なお、本脆弱性は JVN#33527174 とは異なる問題です。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NTTコミュニケーションズ株式会社 東内裕二 氏”
大事なデータを扱うサイトで、データを引っこ抜かれてはマズいでしょうから。ぜひアップデートを。
最新のバージョンは。3.4.7で、これ以下のバージョンには脆弱性が存在しています。