Newspaper テーマセキュリティ更新プログラム

  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기

人気ワードプレスのテーマの一つであるニュースペーパーのテーマでXSSセキュリティ問題が発見され、最新のバージョンで修正されました。 そして就職ポータルテーマであるCareerfyも最新のバージョンでセキュリティの問題が修正されました。 Newspaper私Careerfyを使用している場合は、最新のバージョンに更新してください。

ワードプレス自体はセキュリティに強いが、ワードプレス、テーマ、プラグインのアップデートを怠ると、セキュリティの問題が発生することがあるので、なるべく最新のバージョンにアップデートすることをお勧めします。 実際に更新を適時ていなかったがマルウェアに感染したり、ハッキングをされる事例をたまに目撃します。 手間ロプドラド最新バージョンにサイトを維持し、定期的に ワードプレスのサイトをバックアップと安全サイトを運営することができます。

ニュースペーパーのテーマセキュリティの脆弱性のパッチ

ニュースペーパーのテーマセキュリティ更新プログラム

ニュースペーパーはTagDivが作成された人気のマガジン/ニューステーマに96,000個以上の販売を記録しています。 ニュースサイトやコンテンツが多くのブログサイトに適しています。

ニュースペーパー10.3.4未満のバージョンでは、攻撃者が管理者伝言板にJavaScriptコードを注入することができるXSSの脆弱性がfunctions.phpファイルで発見された。

add_action(「current_screen '、function(){$ current_screen = get_current_screen(); if(' update-core」=== $ current_screen-> id && isset($ _REQUEST [ 'update_theme'])){add_action( 'admin_head」 、function(){$ theme_name = $ _REQUEST [ 'update_theme']; ob_start();?> <script> jQuery(window).ready(function(){ 'use strict'; var $ formUpgradeThemes = jQuery( 'form [ name = "upgrade-themes"] '); if($ formUpgradeThemes.length){var $ input = $ formUpgradeThemes.find(「input [type = "checkbox"] [value = "<?php echo $ theme_name?>" ] '); if($ input.length){$ input.attr(' checked '、true); $ formUpgradeThemes.submit();}}}); </ script> <?php echo ob_get_clean();}) ;}});

ライン8(functions.phpのライン383)は、ブラウザのURLからupdate_theme変数を読み取り、ライン21(functions.phpのライン395)でエスケープ(Escape)やSanitizationなしでそのままプリントすることができます。

ニュースペーパーのテーマを使用している場合は、最新バージョン(現在10.3.4)にアップデートして、安全に、ワードプレスのサイトを運営してください。

CareerfyテーマでUnauthenticated Reflected Cross-Site Scripting(XSS)の脆弱性を修正

ワードプレス求人ポータルテーマClearfy

ワードプレス求人/求職ポータルテーマである CareerfyでXSSの脆弱性が発見され、3.9.0のバージョンで修正されました。

ユーザーが更新することができる時間を与えるためにPoCは6月17日に公開されるそうです。 このテーマを使用する場合は、なるべく早く最新バージョンに更新してください。

おわりに

人気ワードプレスのテーマや人気ワードプレスプラグインの脆弱性が発見されて修正される場合には、悪意のある攻撃者がアップデートをしていないサイトを狙ったマルウェアを作成して配布することができます。

実際に、このような事例がありますので、注意が必要です。 たとえば、人気のページビルダーである Elementorが5月初めにSVG Sanitizer Bypass&Authenticated Stored XSS脆弱性が修正された更新版をリリースしました。 エレメンページビルダーを更新していないサイトを対象にしたハッキン​​グの試みが発見されています。 エレメンページビルダーを使用している場合でも、最新のバージョンにアップデートしてください。



2のコメント

  1. 私はすでにしたアップデートだったよね。 したてたが、また出てきたし、見てみました。 毎回手間が多いです。 ^^

    応答
    • WordPress コア、テーマ、プラグインのセキュリティ上の欠陥を発見した場合定められた手順に従って処理されます。
      通常問題をテーマやプラグイン開発者に非公開で接触して問題を知らせるされます。
      その後、開発者が問題を是正したアップデートをリリースすることになり、ユーザーが更新することができる時間を与えた後に詳細を公開します。
      このような手順を無視して発見したセキュリティ上の問題をブログなどに上げてしまうと問題になります。
      悪意のあるハッカーがその脆弱性を悪用したマルウェアを作成語配布することができるからです。

      実際に、このような手順を無視して発見したセキュリティ上の問題を公開してから退出(?)された企業がありました。

      https://www.thewordcracker.com/basic/%ED%8E%98%EC%9D%B4%EC%8A%A4%EB%B6%81-%EC%9B%8C%EB%93%9C%ED%94%84%EB%A0%88%EC%8A%A4-%ED%94%8C%EB%9F%AC%EA%B7%B8%EC%9D%B8%EC%9D%98-%EB%B3%B4%EC%95%88-%EA%B2%B0%ED%95%A8-%EC%88%98%EC%A0%95/

      応答