operationservicebuの日記

日々の日記、Webサービスや書籍などのレビュー、スマホやパソコンで困ったことの操作方法など自由に書いているブログです。

WordPressのメルマガプラグインで脆弱性

この記事を読む所要時間(約2分)

※1分あたり400字で計算

 

この記事は、個人的な注意喚起です。

 

WordPressのメルマガプラグインで脆弱性

概要

先日、JPCERTでWordPressのメルマガプラグインでCSRF(クロスサイトリクエストフォージェリ)の脆弱性があると発表されました。

JPCERTの該当記事は以下リンクをご参照ください。

JVN#94409737: WordPress 用プラグイン MailPoet Newsletters におけるクロスサイトリクエストフォージェリの脆弱性

 

今回の対象は、

WordPressのメルマガプラグイン

「MailPoet Newsletters」

です。

 

この「MailPoet Newsletters」は、WordPressでメルマガを配信できるプラグインです。

WordPress › MailPoet Newsletters « WordPress Plugins

 

今回発見された脆弱性は、このプラグインでCSRFの脆弱性があるというものです。

CSRFについては以下リンクをご参照ください。

CSRFとは 〔 クロスサイトリクエストフォージェリ 〕 【 XSRF 】 - 意味/解説/説明/定義 : IT用語辞典

 

CSRFを簡単に言えば、

ブラウザで該当URLページにアクセスするだけで、ユーザーの意図しない操作をさせられる可能性がある

というものです。

 

対策方法

対象になっているバージョンは「2.6.10」以前のものです。

現在、「2.6.11」以降のバージョンが公開されていますので、

利用されている方は最新版へのアップデートを実施することで対策できます。

 

参考文献

JVN#94409737: WordPress 用プラグイン MailPoet Newsletters におけるクロスサイトリクエストフォージェリの脆弱性

CSRFとは 〔 クロスサイトリクエストフォージェリ 〕 【 XSRF 】 - 意味/解説/説明/定義 : IT用語辞典

WordPress › MailPoet Newsletters « WordPress Plugins

ワードプレスでメルマガ簡単実現のプラグイン決定版 MailPoet Newsletters (Wysija) - ビズニュースインフォ

 

以上、ありがとうございました。