WordPressプラグインの「Fancybox」、未解決の脆弱性を突く攻撃が横行

任意のスクリプトやコンテンツをWebサイトに挿入できてしまう深刻な脆弱性が発覚し、更新版で対処した。

[鈴木聖子，ITmedia]

　WordPress向けのプラグイン「Fancybox」の未解決の脆弱性を突いて、Webサイトに不正なコードを挿入される被害が相次いで報告された。Fancyboxは2月5日までに、この脆弱性を修正する更新版を公開した。

　セキュリティ企業Sucuriの2月4日付ブログによると、WordPressを使ったWebサイトでマルウェアが出回っているとの報告があり、フォーラムサイトでも不正なJavaScriptが自分のWebサイトに挿入されたという訴えが相次いだ。

　Sucuriが調べたところ、影響を受ける全サイトがFancyboxのプラグインを使っていることが分かったという。

　Fancyboxはダウンロード数が55万回を超す人気プラグイン。調査の結果、任意のスクリプトやコンテンツをサイトに挿入できてしまう深刻な脆弱性が存在していることが判明した。2月4日の時点で既にこの脆弱性を突く攻撃が横行していて、多数のWebサイトが被害に遭っていたという。

脆弱性に対処した修正版が公開されている

　Fancyboxは2月5日までにリリースしたバージョン3.0.3／3.0.4をで、この脆弱性を修正したとしている。