任意のスクリプトやコンテンツをWebサイトに挿入できてしまう深刻な脆弱性が発覚し、更新版で対処した。
WordPress向けのプラグイン「Fancybox」の未解決の脆弱性を突いて、Webサイトに不正なコードを挿入される被害が相次いで報告された。Fancyboxは2月5日までに、この脆弱性を修正する更新版を公開した。
セキュリティ企業Sucuriの2月4日付ブログによると、WordPressを使ったWebサイトでマルウェアが出回っているとの報告があり、フォーラムサイトでも不正なJavaScriptが自分のWebサイトに挿入されたという訴えが相次いだ。
Sucuriが調べたところ、影響を受ける全サイトがFancyboxのプラグインを使っていることが分かったという。
Fancyboxはダウンロード数が55万回を超す人気プラグイン。調査の結果、任意のスクリプトやコンテンツをサイトに挿入できてしまう深刻な脆弱性が存在していることが判明した。2月4日の時点で既にこの脆弱性を突く攻撃が横行していて、多数のWebサイトが被害に遭っていたという。
Fancyboxは2月5日までにリリースしたバージョン3.0.3/3.0.4をで、この脆弱性を修正したとしている。
Copyright © ITmedia, Inc. All Rights Reserved.