WordPressテーマにクロスサイトスクリプティングの脆弱性 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は3月26日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVN#97281747: WordPress 用テーマ flashy におけるクロスサイトスクリプティングの脆弱性」において、WordPressに脆弱性が存在すると伝えた。該当するソフトウェアを使用している場合は早期に使用を中止することが推奨されている。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

• WordPress用テーマ flashy version 1.3 およびそれよりも前のバージョン

WordPressのテーマは脆弱性として悪用されやすいコンテンツの1つ。修正版が公開されないこともあり、脆弱性が放置されたサーバがマルウェアの配布などに使われることがある。今回JVNで指摘されたWordPress用のテーマであるflashyは開発がすでに終了していることから、早期に使用を停止することが推奨されている。