VK All in One Expansion Unit 9.100.0 以前の脆弱性について


  1. 製品更新情報
  2. 仕様変更
  3. VK All in One Expansion Unit 9.100.0 以前の脆弱性について

WordPress.org で公開しているプラグイン VK All in One Expansion Unit を有効化している WordPress サイトを、
複数の管理者権限を所有するユーザが共同管理している状況において、
悪意を持った管理者が管理者設定画面より「ExUnit」→「広告アラート」→「カスタムアラートコンテント」内に、任意のjavascriptを実行するhtmlをiframeタグにて指定し、設定を保存、コンテンツを公開する事で、それを閲覧したユーザのウェブブラウザ上でスクリプトが実行され、クッキーやセッションIDの奪取などの攻撃を受ける格納型XSSの可能性がある。

上記の報告に対して、VK All in One Expansion Unit 9.100.1.0 にて、「ExUnit」→「広告アラート」→「カスタムアラートコンテント」内に入力された iframe タグに関しては削除するように変更いたしました。

https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/1121

ただし、編集者権限や、投稿者権限など、権限低いユーザーでも悪意を持ったユーザーが管理画面から WordPress 標準のカスタムHTMLブロックを使用して同様のコードを配置すれば該当プラグインの利用に関わらず同様の事は可能である。

フルサイト編集に対応したブロックテーマ X-T9

フルサイト編集対応ブロックテーマ

WordPress テーマ X-T9 は、WordPress 5.9 から実装されたフルサイト編集機能に対応した「ブロックテーマ」と呼ばれる新しい形式のテーマです。
ヘッダーやフッターなど、今までのテーマではカスタマイズが難しかったエリアもノーコードで簡単・柔軟にカスタマイズする事ができます。

パターンを使って

よりクオリティの高いサイトに

パターンとは、WordPressのブロックを組み合わせて作ったデザインテンプレートのようなもの。プロのデザイナーが制作したパターンを300以上公開中!コピペしながら高品質なサイトを簡単に作れます。

VK AB Testing は、ABテストを実施するための WordPress 用プラグインです。ブロックエディターでテストパターンを自由に作成でき、ランダム表示とクリック計測が可能です。Webサイトや広告などの施策の改善にぜひご活用ください。

PAGE TOP

このデモサイトは Vektor,Inc. のテーマとプラグインで構築されています。ご購入や詳細情報は下記のリンクもご参考ください。