WordPressのプラグイン・テーマの脆弱性情報を公開している Wordfence から、日本の利用者にも影響がありそうなものを中心にピックアップして紹介します。
- 期間: 2025/03/13-2025/03/19 に報告があったもの
- 対象: Wordfenceが公開しているデータフィードより以下の条件を満たすもの
- WordPress.orgにおける "Active installations" が 10万 以上である
- 日本語の翻訳に対応している
深刻度が高い脆弱性: 0件
なし
他の脆弱性: 2件
プラグイン: Custom Twitter Feeds
| 対象製品 | Custom Twitter Feeds |
| 対象バージョン | 2.2.5までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、管理者にリンクをクリックさせることで、偽のリクエストを使ってプラグインのキャッシュをリセットすることが可能となる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/28d47605-ecb8-42cc-901a-3cf07b946877 |
プラグイン: Ad Inserter
| 対象製品 | Ad Inserter |
| 対象バージョン | 2.8.0までの全てのバージョン |
| 脆弱性概要 | 認証していない攻撃者が、ユーザーにリンクをクリックさせることで、任意のウェブスクリプトを実行するページに挿入できる。 |
| 詳細 | https://www.wordfence.com/threat-intel/vulnerabilities/id/9102ecd8-4860-4521-be34-bfcc91408c0c |
総括
この期間内に報告された脆弱性は2件でした。いずれも認証していない攻撃者 (誰でも攻撃できる) 脆弱性です。2つの脆弱性が攻撃者の権限を必要としないにも関わらず、深刻度が高ではありませんでした。
- Custom Twitter Feeds
- Cross-Site Request Forgery (CSRF) による脆弱性です。
- Ad Inserter
- Reflected Cross-Site Scripting (Reflected XSS) による攻撃です。
Cross-Site Request Forgery (CSRF) は、ユーザーとサイトの間のセッションの情報を悪用して、別のサイトのリンクをクリックさせることで、サイトに対して本来意図しないリクエストを送信させる攻撃です。
CSRFの流れについてはIPAが分かりやすく解説しています。
安全なウェブサイトの作り方 - 1.6 CSRF(クロスサイト・リクエスト・フォージェリ)
Cross-Site Scripting (XSS) は、ユーザーに別のサイトのリンクをクリックさせることで、サイトにウェブスクリプトを埋め込み、そのスクリプトから本来意図しない処理を実行させる攻撃です。
XSSの流れについても同様IPAが分かりやすく解説しています。
安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング
Custom Twitter Feedsは攻撃内容が限定的であることが深刻度が高くない理由として考えられます。また、XSSについては Content Security Policy (CSP) をウェブサーバに適切に設定することで防止することができます。サーバの設定が適切に行われているか、定期的に見直すことを検討ください。
