WordPress用プラグインにXSS脆弱性 最新版へアップデートを独立行政法人情報処理推進機構(IPA)は7月4日、ブログソフトウェア「WordPress(ワードプレス)」用のプラグイン「Responsive Lightbox」に、任意のスクリプトを実行される恐れがある「クロス・サイト・スクリプティング」(XSS)があることを公表した。WordPress運営者に対し、当該プラグインを最新版へアップデートするよう呼び掛けている。 脆弱性があるのは、Responsive Lightboxのバージョン1.7.1以前。7月4日時点で最新版である、バージョン1.7.2で修正されている。 今回のXSSは「反射型」といい、ユーザーからのリクエストに含まれたスクリプトが、Webアプリケーション上でスクリプトとして実行される恐れがあるというもの。悪意のあるスクリプトをパラメーターとして付加したURLを標的ユーザーに踏ませる――などの攻撃手段がある。スクリプトはアプリサーバ
