株式会社ベクトルからの情報
脆弱性識別番号:JVN#05136799
脆弱性タイトル:WordPress用プラグインVK All in One Expansion Unitにおけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
WordPress.org で公開しているプラグイン VK All in One Expansion Unit を有効化している WordPress サイトを、
複数の管理者権限を所有するユーザが共同管理している状況において、
悪意を持った管理者が管理者設定画面より「ExUnit」→「広告アラート」→「カスタムアラートコンテント」内に、任意のjavascriptを実行するhtmlをiframeタグにて指定し、設定を保存、コンテンツを公開する事で、それを閲覧したユーザのウェブブラウザ上でスクリプトが実行され、クッキーやセッションIDの奪取などの攻撃を受ける格納型XSSの可能性がある。
上記の報告に対して、VK All in One Expansion Unit 9.100.1.0 にて、「ExUnit」→「広告アラート」→「カスタムアラートコンテント」内に入力された iframe タグに関しては削除するように変更いたしました。
https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/1121
ただし、編集者権限や、投稿者権限など、権限低いユーザーでも悪意を持ったユーザーが管理画面から WordPress 標準のカスタムHTMLブロックを使用して同様のコードを配置すれば該当プラグインの利用に関わらず同様の事は可能である。