Newspaper テーマセキュリティ更新プログラム

Last Updated: 2020 年 11 月 14 日 2のコメント

인기 WordPress テーマの一つである Newspaper テーマでXSSセキュリティ問題が発見され、最新のバージョンで修正されました。 そして就職ポータルテーマであるCareerfyも最新のバージョンでセキュリティの問題が修正されました。 Newspaper私Careerfyを使用している場合は、最新のバージョンに更新してください。

WordPress 自体は、セキュリティに強いが WordPress、テーマ、プラグインのアップデートを怠ると、セキュリティの問題が発生することがあるので、なるべく最新のバージョンにアップデートすることをお勧めします。 実際に更新を適時ていなかったがマルウェアに感染したり、ハッキングをされる事例をたまに目撃します。 手間ロプドラド最新バージョンにサイトを維持し、定期的に WordPress サイトをバックアップと安全サイトを運営することができます。

Newspaper テーマセキュリティの脆弱性のパッチ

Newspaper テーマセキュリティ更新プログラム

NewspaperはTagDivが作成された人気のマガジン/ニューステーマに96,000個以上の販売を記録しています。 ニュースサイトやコンテンツが多くのブログサイトに適しています。

Newspaper 10.3.4未満のバージョンでは、攻撃者が管理者伝言板にJavaScriptコードを注入することができるXSSの脆弱性がfunctions.phpファイルで発見された。

add_action( 'current_screen', function() {
    $current_screen = get_current_screen();

    if ( 'update-core' === $current_screen->id && isset( $_REQUEST['update_theme'] )) {

        add_action('admin_head', function() {

            $theme_name = $_REQUEST['update_theme'];

            ob_start();
            ?>

            <script>
                jQuery(window).ready(function() {

                    'use strict';

                    var $formUpgradeThemes = jQuery('form[name="upgrade-themes"]');
                    if ( $formUpgradeThemes.length ) {
                        var $input = $formUpgradeThemes.find('input[type="checkbox"][value="<?php echo $theme_name ?>"]');
                        if ($input.length) {
                            $input.attr( 'checked', true );
                            $formUpgradeThemes.submit();
                        }
                    }
                });
            </script>

            <?php
            echo ob_get_clean();
        });
    }
});

行8(functions.phpの行383)では、ブラウザのURLからupdate_theme 変数を読み、次に行21(functions.phpの行395)でエスケープやSanitizationなしでそのまま印刷できます。

Newspaper テーマを使用している場合は、最新バージョン(現在10.3.4)にアップデートして、安全に WordPress サイトを運営してください。

CareerfyテーマでUnauthenticated Reflected Cross-Site Scripting(XSS)の脆弱性を修正

WordPress 求人ポータルテーマClearfy

WordPress 求人/求職ポータルテーマである キャリアファイでXSSの脆弱性が発見され、3.9.0のバージョンで修正されました。

ユーザーが更新することができる時間を与えるためにPoCは6月17日に公開されるそうです。 このテーマを使用する場合は、なるべく早く最新バージョンに更新してください。

最後に、

인기 WordPress テーマや人気 WordPress プラグインの脆弱性が発見されて修正される場合には、悪意のある攻撃者がアップデートをしていないサイトを狙ったマルウェアを作成して配布することができます。

実際に、このような事例がありますので、注意が必要です。 たとえば、人気のページビルダーである Elementorが5月初めにSVG Sanitizer Bypass&Authenticated Stored XSS脆弱性が修正された更新版をリリースしました。 エレメンページビルダーを更新していないサイトを対象にしたハッキン​​グの試みが発見されています。 エレメンページビルダーを使用している場合でも、最新のバージョンにアップデートしてください。


2のコメント

コメント