【脆弱性】Shortcodes Ultimate、Responsive Lightbox

スポンサーリンク

【脆弱性】Shortcodes Ultimate、Responsive Lightbox

2017年7月上旬ごろにWordPressのプラグイン、『Shortcodes Ultimate』・『Responsive Lightbox』に脆弱性が存在することが発表されました。

対象のバージョン想定される影響をご紹介しますので、対象のバージョンのプラグインをWordPressにインストールしている方は速やかにアップデートを行ってください。

特に、現在は使用しておらず、放置している場合も影響をうけます。そういった場合、レンタルサーバー会社などに迷惑が掛かりますので、今一度確かめてみてください。

スポンサーリンク

Shortcodes Ultimateの脆弱性

Shortcodes Ultimateの脆弱性

Shortcodes Ultimate』は、ショートコードを利用することで簡単かつ、奇麗にブログを装飾ができるプラグインです。

とても有名なプラグインのため、使用している方は大変多いです。

影響を受けるバージョン

Shortcodes Ultimate 4.10.0 より前のバージョン

脆弱性の概要

Shortcodes Ultimate 4.10.0 より前のバージョンを使用している場合に、『ディレクトリトラバーサル』による攻撃を受ける可能性があります。

ディレクトリトラバーサルとは

ディレクトリトラバーサルとは、

利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。

引用:WikiPedia-ディレクトリトラバーサル

親ディレクトリへの横断 (traverse)」というのは、少しわかりずらいと思います。

これは、あくまで一例ですが、../(ドットドットスラッシュ)』などの記号を使用して攻撃を行う手法のことです。

なぜ、『../』を使うのかといいますと、この記号は現在いるディレクトリの一つ上の階層(ディレクトリ)を指す記号です。

この記号を使うことで、パスワードが記録されているファイルなどを盗み見することができてしまう場合があります。

対処方法

Shortcodes Ultimate脆弱性の対処方法は、開発者が提供している最新版へのアップデートを行うことです。

普段から、WordPressを利用していて管理画面(ダッシュボード)を見ている方は、更新の通知が来ますので、そちらの更新を行っていれば問題ありません

Responsive Lightboxの脆弱性

Responsive Lightboxの脆弱性

Responsive Lightbox』は、画像をポップアップして背景を設定することで、デザイン的に画像を見せることができるプラグインです。

JavaScriptjQueryを扱ったことがある方は、『Ligthbox』を簡単に実装してくれるプラグインだと思ってください。

Responsive Lightbox』も『Shortcodes Ultimate』ほどではありませんが、よく使用されるプラグインですので注意してください。

影響を受けるバージョン

Responsive Lightbox 1.7.2 より前のバージョン

脆弱性の概要

Responsive Lightbox 1.7.2 より前のバージョンを使用している場合に、『反射型のクロスサイトスクリプティング』による攻撃を受ける可能性があります。

クロスサイトスクリプティングとは

クロスサイトスクリプティング』とは、

クロスサイトスクリプティング(英: cross site scripting)とは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃。

引用:WikiPedia-クロスサイトスクリプティング

Webアプリケーションの脆弱性』とありますが、JavaScript・HTMLタグ・マウスイベントといったWebアプリケーションに関連する技術用いて攻撃を仕掛ける手法です。

クロスサイトスクリプティングの中でも、『反射型』の場合はサイトに悪意性のあるURLを仕込み、URLをクリックすることで悪意性のあるスクリプトを流し込む攻撃手法です。

対処方法

Responsive Lightbox脆弱性の対処方法は、開発者が提供している最新版へのアップデートを行うことです。

普段から、WordPressを利用していて管理画面(ダッシュボード)を見ている方は、更新の通知が来ますので、そちらの更新を行っていれば問題ありません

まとめ

2017年7月上旬に『Shortcodes Ultimate』・『Responsive Lightbox』に脆弱性が存在することが発表されました。

上記の二つのプラグインをインストールしている方は、速やかにプラグインのバージョンを確認してください。

サイトを放置している方も狙われてしまいますので、所有している場合は必ず確認しましょう。

せっかくのご自身のサイトですので、ご自身で守りましょう。

コメント