WordPress向け投票プラグイン「YOP Poll」にXSSの脆弱性 – アップデートで修正



WordPress向け投票プラグインにXSSの脆弱性 – アップデートで修正

WordPress向けに投票機能を提供するプラグイン「YOP Poll」に脆弱性が含まれていることがわかった。アップデートで修正されている。

脆弱性情報のポータルサイトであるJVNによれば、同プラグインに「クロスサイトスクリプティング(XSS)」の脆弱性「CVE-2017-2127」が判明したもの。同プラグインを利用するサイトへアクセスしたブラウザ上で任意のスクリプトが実行されるおそれがある。

エスアイイーの上嶋翔氏、本田崇氏、小川剛氏、梅原未那穂氏が情報処理推進機構(IPA)へ脆弱性を報告したもので、JPCERTコーディネーションセンターが調整を実施した。開発者は「同5.8.1」で脆弱性を修正。現在は最新版となる「同5.8.2」がリリースされている。

WordPress用のアンケート作成プラグイン「YOP Poll」に脆弱性 IPAが警告
ITmedia エンタープライズ 2017年3月24日 12時42分 (2017年3月27日 10時20分 更新)

 IPAセキュリティセンターとJPCERT/CCが3月23日、WordPress用のプラグイン「YOP Poll」にクロスサイトスクリプティング(XSS)の脆弱性があると発表した。YOP Pollは、アンケートを作成するためのWordPress用のプラグイン。最新バージョンにアップデートすることで修正される。

 YOP Pollには、格納型のXSS脆弱性(CWE-79)が存在し、YOP Pollを使用しているサイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトを実行されてしまう可能性がある。

WordPress用プラグイン「YOP Poll」にブラウザ上で任意スクリプト実行の脆弱性(JVN)脆弱性と脅威 セキュリティホール・脆弱性
2017年3月24日(金) 08時00分

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月23日、YOPが提供するWordPress用プラグイン「YOP Poll」にクロスサイトスクリプティング(XSS)の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは5.4。株式会社エスアイイーの上嶋翔氏、本田崇氏、小川剛氏、梅原未那穂氏が報告を行った。

「YOP Poll 5.8.1 より前のバージョン」には、格納型のXSSの脆弱性(CVE-2017-2127)が存在する。この脆弱性が悪用されると、当該製品を使用しているサイトにアクセスしたユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。



こんな記事も読まれています



コメントを残す