WordPressの会員サイト作成プラグイン「Ultimate Member」にまた脆弱性

WordPressで、なんとか会員制サイトをつくりたい、という要望は結構あるようです。

ググってみてください。

あるわあるわ、次々と出てきます。

「プラグイン」で手軽に、ECサイトや会員制サイトをつくるのは、一つの方法としてはありです。

が、そのプラグインがほんとうに安全かどうか、どうやって確かめるのでしょう?

 

特に、個人情報を扱うような会員制サイトで、セキュリティの問題は致命的です。

「手軽にプラグインで」も悪くはないのですが、きちんとした実績があり、アップデートを行っているプラグイン、かつサポートのあるものを使う」

のは、サイトの運営者として当然の配慮でしょう。

 

その「実績」という意味で、「Ultimate Member」というプラグインは、ある程度の信頼が置けます。

アクティブインストール数は10万以上、最新版へのアップデートも行っています。

 

なお、昨年にもこのプラグインは脆弱性が出ています。

WordPressで会員制コミュニティサイトを作れるプラグイン「Ultimate Member」に脆弱性

 

しかし。これはある意味「安全」といえるのです。

脆弱性が指摘され、都度アップデートがされているのですから。

 

逆に、あまり使われていないような、脆弱性についての報告もないようなプラグインは、かえって危険であると言えます。

 

JVNによる脆弱性報告は、以下のとおりです。

https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-002091.html

WordPress 用 UltimateMember プラグインには、クロスサイトスクリプティングの脆弱性が存在します。

CVSS v3 による深刻度
基本値: 6.1 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 要
影響の想定範囲: 変更あり
機密性への影響(C): 低
完全性への影響(I): 低
可用性への影響(A): なし

CVSS v2 による深刻度
基本値: 4.3 (警告) [NVD値]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 中
攻撃前の認証要否: 不要
機密性への影響(C): なし
完全性への影響(I): 部分的
可用性への影響(A): なし

 

影響を受けるシステム

Ultimate Member 2.0

要アップデート、です。

 

LINEで送る
Pocket

こんな記事も読まれています