WordPressのシェアは膨大だ。2021年5月の段階で、世界中のWebサイトの41%以上でWordPressが使われている(Q-Success調査)。WordPressはサードベンダーがプラグインを開発できるようになっており、エコシステムが構築されている。WordPressはシェアの高いプラットフォームであるだけにサイバー攻撃の標的にもなりやすく、プラグインの管理も欠かせない。
2021年5月23日(米国時間)、WordPressののひとつである「ReDi Restaurant Reservation」に任意のJavaScriptコードを保存できる脆弱性が存在することが公開された。すでに概念実証(PoC: Proof of Concept)が公開されている。脆弱性に関する情報は次のページに詳しい情報が掲載されている。
-
Technical Write-up on CVE-2021-24299 - Bastijn Ouwendijk
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- ReDi Restaurant Reservation version 21.0307およびこれより前のバージョン
ReDi Restaurant Reservationは、レストランの予約システムを提供するWordPressのプラグイン。管理者はプラグインがインストールされているサイトの予約状況などを確認することができる。発見者の説明によれば、このプラグインの該当するバージョンには認証されていないストアド・クロスサイト・スクリプティングの脆弱性が存在するという。該当するプラグインを使っている場合は、修正されたバージョンへアップデートすることが望まれる。
