- 2018年5月23日
- WordPress脆弱性情報
WordPressに予約管理機能をつける人気プラグイン、Events Managerプラグインに脆弱性。
事業者や企業は、何かとイベントを開催するもの。
しかし、イベントを自社で開催するためには、多くの事務的な処理が必要になる。その事務処理を肩代わりしてくれるのが「Events Manager」プラグインだ。
Events Managerは、使う人にとってみれば、かなり利便性の高い機能が揃っている。
利用イメージとしては、
1.イベント登録(定期/不定期)
2.予約管理
3.チケット発行
4.ゲスト(お客さん)、イベントメンバー(開催者)の管理
5.イベントへの場所の割当
6.ドレスコードの設定、Googleマップなどの連携、外部カレンダーサービスなどへの連携
などの機能が実装されている。
これらをメールやエクセルで行うのはかなりの手間であろうことが予測されるので、なかなか便利、と言えるだろう。
実績も10万以上のアクティブインストールがあり、「使える」プラグインの一つになっている。
さて、今回の脆弱性はクロスサイトスクリプティングに関するもの。
クロスサイトスクリプティングとは、ユーザーからの入力を無害化しないため、別のユーザーに提供するwebページに細工を施すことができてしまう、という脆弱性だ。
例えば、ある悪意を持ったユーザーが、サイトの入力フォームに細工されたコマンドを打ち込む。
そのコマンドはシステムに不正な処理を行わせ、別のユーザーが表示するページに、悪意を持ったユーザーの意図する動作を起こさせることができてしまう。
よくある脆弱性の一つであるが、データを改ざんされたり、ユーザーの情報を抜かれたりするのは、運営側としては最悪だ。
ベンダーからセキュリティ対策済みの最新版が出ているので、アップデートを行うこと。それだけで十分な対策となる。