Insert Estimated Reading Time WordPressプラグインの脆弱性について

皆様こんにちは。

今回ワードプレスの有名なプラグインに脆弱性が発見されたという記事を紹介していきます。
このプラグインをお使いの方は是非詳細を確認して対応をお勧めします。

Insert Estimated Reading TimeにXSS脆弱性

今回取り上げたプラグインは、Insert Estimated Reading Timeという、記事を読むために必要な時間を表示する機能を持ったプラグインになりますす。当ブログでも使用しておりました。

では、どのような脆弱性なのかというと、クロスサイトスクリプティング（XSS）の脆弱性となります。

クロスサイトスクリプティング（XSS）とは

クロスサイトスクリプティング（XSS）脆弱性とは、ウェブサイトに悪意のあるスクリプトを注入することで、他のユーザーのブラウザ上で勝手にスクリプトが実行されるように仕掛ける攻撃手法のことです。

例えば、掲示板やコメント欄など、ユーザーが入力した内容をそのまま画面に表示するサイトがあるとします。ここに攻撃者が悪意のあるJavaScriptコードを入力すると、そのページを閲覧した別のユーザーのブラウザ上でそのスクリプトが実行され、次のような被害が起きます。

・クッキー情報などが盗まれ、ログイン情報が漏洩する。
・ユーザーを偽のサイトへ誘導し、フィッシング詐欺に遭わせる。
・偽の画面や情報を表示し、誤った操作を誘導する。

このプラグインを使用している場合の対策について

このプラグインの脆弱性について言及している「脆弱性対策データベース」では、対策として、
「参考情報を参照してください」とありましたので、参考情報に記載のある「patchstack」を確認すると、XSSの脆弱性はあるものの、悪用されるリスクは低いという評価をされています。

しかし、このプラグインはバージョン１.２から更新されていないという背景もあり、パッチも提供されていませんので、うさマガとしては使用を停止することといたしました。

最後に

うさマガでは「うさ夫のネットセキュリティ」を展開していますが、WordPressやCMSのセキュリティ対策情報などもお伝えしていければと考えております。

また、YouTubeチャンネルうさ夫チャンネルでは、今回の内容のほか、様々なネットのわかりにくいを少しわかった気になるyoutube動画も掲載していきます。
キャンプチャンネルの、うさ夫チャンネル／キャンプも公開しておりますので、
よろしければチャンネル登録いただけるとコンテンツ制作の励みになります。

本日も最後までご覧いただき、ありがとうございました！