WordPressの人気プラグイン「Jetpack」の脆弱性を修正する更新版が5月27日に公開された。脆弱性はコメントを通じて簡単に悪用できてしまうとされ、同プラグインを使っている場合はできるだけ早く対応する必要がある。

JetpackはWordPressサイトの管理を支援するための多機能プラグインで、100万を超すWebサイトで使われている。

セキュリティアップデートを公開したJetpack

脆弱性を発見したセキュリティ企業のSucuriによると、Jetpackの「ショートコード埋め込み」モジュールにクロスサイトスクリプティング（XSS）の脆弱性が存在する。このモジュールを有効にしている場合、攻撃者がショートコードを含んだコメントを残すことによってWebサイトに悪質なJavaScriptを仕込み、管理者アカウントを乗っ取ったりSEOスパムを仕込んだり、訪問者を不正なWebサイトに誘導したりすることが可能になる。

Jetpackのブログによれば、脆弱性は2012年11月にリリースしたJetpack 2.0以降のバージョンに存在していて、5月27日公開の最新バージョン4.0.3で修正された。WordPressは自動更新システムを通じ、影響を受ける全バージョン向けにJetpackの更新版をプッシュ配信しているという。

現時点で悪用されている痕跡は確認されていないものの、「情報が公開された今、誰かが悪用しようとするのは時間の問題」だとJetpackチームは警告し、まだ更新を済ませていない場合は直ちに最新版を導入するよう促している。

脆弱性を発見したSucuri

Copyright © ITmedia, Inc. All Rights Reserved.