WordPress 用プラグイン Event Calendar WD にクロスサイトスクリプティングの脆弱性(CVE-2017-2224)

Web-Dorado が提供する WordPress 用プラグイン Event Calendar WD に、クロスサイトスクリプティングの脆弱性が存在するとのことです。

【クロスサイトスプリプティングとは】
クロスサイトスクリプティング (XSS) の脆弱性は、以下の様に発生します。

1. 信頼できないデータが(一般的に Web リクエストから)Web アプリケーションに入力され、

2. Web アプリケーションが、この信頼できないデータを含む Web ページを動的に生成します。

3. その際 Web アプリケーションは、信頼できないデータに含まれる Web ブラウザで実行可能なコンテンツ (JavaScript、HTML タグ、HTML アトリビュート、マウスイベント、Flash、 ActiveX 等) を排除しません。

4. 一般ユーザが、Web ブラウザを介して生成されたページにアクセスします。この Web ページには、信頼できないデータを利用して挿入された悪意あるスクリプトが含まれています。

5. スクリプトが Web サーバの送った Web ページに由来して発生しているため、被害者の Web ブラウザは、この Web サーバのドメインのコンテキストの中で悪意あるスクリプトを実行します。

6. これは事実上、Web ブラウザの同一生成元ポリシの意図に違反しています。同一生成元ポリシは、あるドメインの中のスクリプトが、異なるドメインにおけるリソースへのアクセスやコードの実行が可能であってはならないことを提示するものです。

参照;JVN

【影響範囲】
Event Calendar WD 1.0.94 より前のバージョン

【想定される影響】
当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

【対策】
[アップデートする]開発者が提供する情報をもとに、最新版へアップデートしてください。

クロスサイトスクリプティングが実行されると、Webサイトの管理者が気が付かないうちに、サイトを閲覧したユーザーに悪意ある攻撃がなされ、被害が発生してしまいます。サイトの管理者は実際の被害がでないうちに適切に対応するようにしましょう。

詳細;JPCERT/CC

 

 

 

 

 

<