ここから本文です

WordPress用プラグインにXSS脆弱性 最新版へアップデートを

7/4(火) 14:08配信

ITmedia NEWS

 独立行政法人情報処理推進機構(IPA)は7月4日、ブログソフトウェア「WordPress(ワードプレス)」用のプラグイン「Responsive Lightbox」に、任意のスクリプトを実行される恐れがある「クロス・サイト・スクリプティング」(XSS)があることを公表した。WordPress運営者に対し、当該プラグインを最新版へアップデートするよう呼び掛けている。

【画像】反射型XSSとは

 脆弱性があるのは、Responsive Lightboxのバージョン1.7.1以前。7月4日時点で最新版である、バージョン1.7.2で修正されている。

 今回のXSSは「反射型」といい、ユーザーからのリクエストに含まれたスクリプトが、Webアプリケーション上でスクリプトとして実行される恐れがあるというもの。悪意のあるスクリプトをパラメーターとして付加したURLを標的ユーザーに踏ませる――などの攻撃手段がある。スクリプトはアプリサーバに保存されないため、標的ユーザー以外に攻撃の影響はない。

 WordPressはオープンソースのブログソフトウェア。コンテンツ管理システム(CMS)でもあり、ブログやWebサイトの構築、管理に用いられる。

 Responsive LightboxはWordPress用の画像表示プラグイン。PCやスマートフォン、タブレットなど、画面サイズに応じた表示ができることが特徴。

最終更新:7/4(火) 16:36
ITmedia NEWS