要約
WPMU DEV が提供する WordPress 用プラグイン Forminator にクロスサイトスクリプティングの脆弱性が報告されました。
Forminator で作成したウェブフォームには、アクセスされた際に URL の一部を取り込む機能がありますが、取り込んだ情報に対して適切な処理を行っていないためクロスサイトスクリプティング(CWE-79)の脆弱性が存在します。
対策は、開発者が提供する情報をもとに Forminator の最新版へのアップデートとなります。
JVNより引用
JVN#65724976
WordPress用プラグインForminatorにおけるクロスサイトスクリプティングの脆弱性影響を受けるシステム
- Forminator 1.34.1より前のバージョン
想定される影響
細工されたURLを辿って当該製品で作成されたウェブフォームを含むページにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
対策方法
当該製品をアップデートし、ウェブフォームを再生成する
開発者が提供する情報をもとに、Forminatorを最新版にアップデートし、既存のウェブフォームを生成し直してください。