複数の WordPress 用プラグインにクロスサイトスクリプティングの脆弱性

最終更新日: 2018/05/09

情報源

Japan Vulnerability Notes JVN#85531148
WordPress 用プラグイン Events Manager におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN85531148/

Japan Vulnerability Notes JVN#01040170

WordPress 用プラグイン WP Google Map Plugin におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN01040170/

Japan Vulnerability Notes JVN#61081552

WordPress 用プラグイン PixelYourSite におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN61081552/

Japan Vulnerability Notes JVN#08386386

WordPress 用プラグイン Open Graph for Facebook, Google+ and Twitter Card Tags におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN08386386/

概要

複数の WordPress 用プラグインには、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。

– Events Manager 5.9 より前のバージョン
– WP Google Map Plugin 4.0.4 より前のバージョン
– PixelYourSite 5.3.0 より前のバージョン
– Open Graph for Facebook, Google+ and Twitter Card Tags 2.2.4.1 より前のバージョン

この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書(英語)

Events Manager

Changelog
https://wordpress.org/plugins/events-manager/#developers

WP Google Map Plugin

Changelog
https://wordpress.org/plugins/wp-google-map-plugin/#developers

PixelYourSite

Changelog
https://wordpress.org/plugins/pixelyoursite/#developers

Open Graph for Facebook, Google+ and Twitter Card Tags

Changelog
https://wordpress.org/plugins/wonderm00ns-simple-facebook-open-graph-tags/#developers

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2018-05-09」
https://www.jpcert.or.jp/wr/2018/wr181701.html