WordPress チャット用プラグインにXSS脆弱性(CVE-2017-2187)

CMS(コンテンツマネージメントシステム)であるWordPressにて利用するチャット用のプラグインにXSS(クロスサイトスクリプティング)の脆弱性があることが分りこのプラグインを利用するユーザーには最新版へのアップデートを呼び掛けています。

【影響を受ける対象】

  • WP Live Chat Support 7.0.07 より前のバージョン

【想定される影響】

当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

【ベンダ情報】

CODECABIN_Changeset 1658232 – WordPress Plugin Repository

WordPressは世界で最も利用者の多いCMSで、手軽に高品質なWebサイトを作成できることで人気がありますが、利用者が多いために一度、システムに脆弱性が見つかるとサイバー攻撃の格好の対象となり、一斉に被害が拡大する傾向にあります。本年1月に発覚した脆弱性では世界的にWebサイトが改ざんされる被害が拡大し、日本でも役所など一般閲覧者の多い公的機関のWebサイトが政治的メッセージの強い画像やメッセージが表示される被害が発生しました。このときはWordPress本体における脆弱性でしたが今回はサードパーティーが提供するプラグイン(各種機能を追加するプログラム)で見つかりました。本体に比べると利用者数はぐっと減るものの、監視も緩いため、脆弱性が内包されたまま、しばらく発見されない恐れもあります。サイバー攻撃者はこのような見落としがちなところを調べています。無防備を突くのがコストパフォーマンスもいいからです。先日、世界的に猛威を振るったランサムウェアは最新版のWindowsでは自動でパッチが当たっているので問題ありませんでしたが、圧倒的にWindows7がやられたことからも一般的には利用者が少ない環境でも世界的に見ればまだまだ利用されている盲点を突いたものでした。

ずばり脆弱性はいくら気を付けても次々と発見されるものですがきちんと最新版にバージョンアップしていればさほど怖いものではありません。まずやるべきことをやることがセキュリティの基本です。

詳細;

 

<