WordPress 用プラグイン Ninja Forms に複数の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・WordPressが世界中で利用されている理由
・セキュリティの観点で気を付けるべきポイント
今回の解説ニュース
WordPressのプラグインに複数の脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性の内容と、WordPressのプラグインを使う際に、セキュリティの観点で気を付けるべきポイントについて説明します。
今回の脆弱性は、WordPress用プラグインNinja Formsにクロスサイトリクエストフォージェリとクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるシステムは、クロスサイトリクエストフォージェリは3.4.31より前のバージョンで、クロスサイトスクリプティングは3.8.1より前のバージョンです。影響として、当該製品にログインした状態のサイト管理者が細工されたページにアクセスした場合、意図しない操作をさせられたり、当該製品を使用しているサイトにアクセスしているユーザのウェブブラウザ上で任意のスクリプトを実行されたりする可能性があるということです。深刻度を表すCVSSv3の基本値は4.3と5.4で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-25572」「CVE-2024-26019」「CVE-2024-29220」で検索してみてください。
WordPressが世界中で利用されている理由
WordPressが世界中で利用されている理由として、無料で使えて、拡張性があり、使いやすいことなどが挙げられます。
WordPressはオープンソースのソフトウェアであり、誰でも無料で利用することができます。そのため、コストを抑えたい個人や中小企業にとっては、魅力的な選択肢の一つとなっています。
また、WordPressには、プラグインと呼ばれる拡張機能が豊富に用意されており、プラグインを導入することで、コメントやフォーム、SEO対策など、様々な機能を追加することができます。また、テーマと呼ばれるデザインテンプレートも豊富に揃っているので、サイトのデザインを簡単に変更することができます。
さらに、WordPressは、プログラミング知識がなくても直感的に操作できるシンプルなインターフェースが特徴で、初心者でも簡単にウェブサイトを作成して、編集することができます。
以上から、ブログ、企業サイト、ECサイトなど、幅広い用途で利用されていますが、一方で、その技術的な敷居の低さから、セキュリティインシデントも数多く発生しています。