WPForms Plugin 1.5.9 に XSS の脆弱性が見つかりました - すぐに更新してください

WPForms プラグイン バージョン 1.5.8.2 以下は、プラグインを監査しているときに、認証済みの保存された XSS に対して脆弱であることがわかりました。データのサニタイズが改善された WPForms バージョン 1.5.9 が 2020 年 3 月 5 日にリリースされました。

CVE ID: CVE-2020-10385

まとめ

WPForms は、300 万以上のアクティブ インストールを持つ人気のある WordPress フォーム プラグインです。認証されたクロスサイト スクリプティング (XSS) の脆弱性に対して脆弱であることが判明しました。 XSS は、被害者のセッション Cookie やログイン認証情報を盗む、被害者に代わって任意のアクションを実行する、キーストロークをログに記録するなど、さまざまな悪意のあるアクションを実行するために攻撃者によって悪用される可能性のある脆弱性の一種です。

脆弱性

フォームの説明 とフィールドの説明 WPForms プラグインの Form Builder モジュールのフィールドは、ユーザーが入力した情報を適切にサニタイズしていないため、保存された XSS に対して脆弱であることが判明しました。

認証された XSS の脆弱性であるという高いセキュリティ上の脅威はありませんが、攻撃者がこれらを悪用して、WordPress のマルチサイト インストールで悪意のあるアクションを実行し、スーパー管理者の Cookie を攻撃者に送信したり、リダイレクトしたりする可能性があることを確認できました。たとえば、スーパー管理者が別のドメインにアクセスした場合、たとえば、ログアウトされており、再度ログインする必要があることを示すように設計されたフィッシング ページが表示され、資格情報が危険にさらされます。

さらに、フォーム ビルダーの「プレビュー」機能も反映された XSS に対して脆弱であることがわかりました。

タイムライン

脆弱性は 2020 年 2 月 18 日に WPForms チームに報告されました。
脆弱性の修正を含む WPForms バージョン 1.5.9 が 2020 年 3 月 5 日にリリースされました。

おすすめ

プラグインを最新バージョンに更新することを強くお勧めします。セキュリティのベスト プラクティスについては、以下のガイドに従ってください:

• WordPress セキュリティ ガイド
• WordPress のハッキングとマルウェアの除去

参照

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10385
• https://wpvulndb.com/vulnerabilities/10114
• WPForms 変更ログ