WordPress用プラグイン「WP Custom Fields Search」に脆弱性が存在
WordPress 用プラグイン「WP Custom Fields Search」に以下の脆弱性が存在。
・クロスサイトスクリプティング
アップデートを推奨とのこと。
想定される影響
・ログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
対象バージョン
・WP Custom Fields Search 0.3.28
対策方法
開発者にコンタクトを取ろうと試みたもののコンタクトできなかったようで、
直接 WordPress 公式に連絡をしたようで、
2017 年 6 月 6 日をもって WordPress 公式ディレクトリから削除されています。
従って、脆弱性への対策が施された最新版が提供される可能性は極めて低いので、
WP Custom Fields Search を現在も使用している方は速やかに削除しましょう。
参考元URL
http://jvndb.jvn.jp/ja/contents/2017/JVNDB-2017-004557.html
CVE-2017-9419: WordPress WP Custom Fields Search v.0.3.28 Reflected Cross-Site Scripting (XSS)
https://dtsa.eu/cve-2017-9419-wordpress-wp-custom-fields-search-v-0-3-28-reflected-cross-site-scripting-xss/