本日「WP All Import」に任意のスクリプト実行の複数脆弱性があるとの情報がネットに公開されていました。(WordPress用プラグイン「WP All Import」にスクリプト実行の複数の脆弱性(JVN))
「WP All Import 3.4.6 より前のバージョン」には、ファイルアップロード機能に関するXSS(CVE-2018-0546)、「WP All Import 3.4.7 より前のバージョン」には、反射型のXSS(CVE-2018-0547)の脆弱性が存在する。とのことですので、早急に最新版にアップデートする必要があります。
放置しておくと、複数のクロスサイトスクリプティング(XSS)の脆弱性を突いた被害に遭う危険性があります。XSS脆弱性を突き、「任意のコード(スクリプト)が実行されてしまうと、Javascriptで出来ることはなんでも出来てしまう可能性があるということです。
JavaScriptを利用すれば、DOM操作で全ページ書き換えも可能ですし、ユーザ入力情報のハッキング、任意サイトへのフィッシング、等々、ありとあらゆることが出来てしまいます。
利用されている方は一刻も早くアップデートが必要です。
WordPressでは多くのプラグインから自由にインストールすることが出来ます。しかし、その反面こうした危険性が常に潜んでいることを頭に置いておく必要があります。また、悪意をもったプラグイン開発者も居る可能性があるので、慎重にプラグインは選ばないといけません。
脆弱性を狙った被害を防ぐためにも、こまめにプラグインはアップデートするようにしましょう( ・ㅂ・)و ̑̑
WordPress自身のアップデートも、サイト動作検証等が必要となるため、ついつい腰が重くなりがちですが、時間があるときにでも適用しないといけないですね…。
