「続きを読む」と表示されるプラグイン WP Limit Posts Automatically に脆弱性

続きを読む、と表示させることで有名な WP Limit Posts Automaticallyプラグインに、脆弱性が2件、報告されています。

日本語解説ページも数多くある有名なプラグインだけに、早期の対策が望まれています。

 

【日本語解説ページ】

WordPress | Moreタグ(続きを読む)をプラグイン【WP Limit Posts Automatically】で自動化

自動で抜粋と「続きを読む」を表示してくれるプラグインWP Limit Posts Automaticallyの設定と文字化けの対処法

WordPressに【WP Limit Posts Automatically】を導入して“続きを読む”状態にする

 

 

116151 2014-12-19 WP Limit Posts Automatically Plugin for WordPress Settings Page Limit Posts Options Fields Stored XSS Weakness

WP Limit Posts Automatically Plugin for WordPress contains a flaw that allows a stored cross-site scripting (XSS) attack. This flaw exists because the settings page does not validate input to the all the fields in the Limit Post Options before returning it to users. This may allow an authenticated remote attacker to create a specially crafted request that would execute arbitrary script code in a user’s browser session within the trust relationship between their browser and the server.

116152 2014-12-19 WP Limit Posts Automatically Plugin for WordPress wp-limit-posts-automatically.php Setting Manipulation CSRF

WP Limit Posts Automatically Plugin for WordPress contains a flaw as HTTP requests to wp-limit-posts-automatically.php do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSRF / XSRF) attack causing the victim to the settings.

 

直ぐにアップデートしたいところですが、残念ながら開発者のページが現在、404となっており、プラグインの更新が期待できません。

開発者が更新を止めてからかなり経っているようで、それなりに利用者が多いプラグインだけに、影響は大きいでしょう。

 

代替案として、テーマファイルの書き換えなどがありますが、プラグインで手軽にやっていた方は注意が必要です。

 

 

LINEで送る
Pocket

こんな記事も読まれています