- 2018年7月3日
- WordPress脆弱性情報
テイクオーバー広告表示プラグイン、WP Background Takeover Advertisementsに脆弱性
「テイクオーバー広告」というジャンルの広告がある。
これがいかなるものかといえば、デモを見ていただくとわかるのだが、背景を広告にしたり、様々なウェブページの場所を広告表示に一時的に変えるような種類のものだ。
一時期はまとめサイトなどでかなり流行ったイメージがあるが、PCでサイトを見る人が少なくなった今では、用途もあまりないだろう。
「ちょっと前の広告手法」というイメージだ。
また、この手の広告はかなりうざいので、広告ブロッカーなどの格好のターゲットになってしまう。
今こんなの使ってるの?という感じもあるが、日々広告手法は開発されているので、またテイクオーバー広告が日の目を見ることもあるのかもしれない。
なお、消費者に最も嫌われている広告手法は、ビデオが降りてくる広告や、記事の隙間に配置されていて間違ってクリックしてもらうようなものだろう。
ああいった、ユーザービリティを損なうような広告はますます減ってゆき、ユーザーにコンテンツとして認識されていくような広告だけが後々は生き残っていくのだと予想できる。
さて、話をもとに戻すと、このテイクオーバー広告をプラグインで自動的に配置、表示させてしまうことができるのが、このWP Background Takeover Advertisementsだ。
正直、これでサイトの広告クリック率が向上するとはあまり思えないが、ビュー数の多いサイトで、コンテンツにあまり自身のない運営者が、「やらないよりはマシ」と導入することが多いのではないかと推測する。
さて、JVNによれば、今回発見された脆弱性は、パストラバーサルによるもの。
WordPress 用 99 Robots WP Background Takeover Advertisements プラグインには、パストラバーサルの脆弱性が存在します。
バージョン4.1.5未満は脆弱性が存在しており、ベンダーがアップデートを発行しているので、早急に最新版である4.1.8にアップデートするのが良いだろう。
広告表示されるだけでも嫌がるユーザーが多いのに、セキュリティの穴まであったら、ユーザーが怒ってしまうこと請け合いだ。