WordPressプラグイン「Easy FancyBox」の脆弱性

実は、私が以前から気になっていた事があります。
今年の2月から、WordPressの人気プラグイン「FancyBox for WordPress」の脆弱性が狙われ、Webサイトがイスラム国を名乗るページに改竄される事件が多発していました。 👉 WordPress 用 FancyBox プラグインにおけるクロスサイトスクリプティングの脆弱性
最新バージョンでは、既に対策済みらしいのですが、当サイトで利用しているプラグイン「Easy FancyBox」は果たして大丈夫なのでしょうか!?

そこで、私はWordPressのフォーラムを調査しました。
以下に、それに関連するQ&Aを貼っておきます。
Google翻訳では訳せないため、一応、私なりに日本語へ訳してみました。
(間違ってるかもしれませんが)
とてもシンプルな回答ですが、とりあえず大丈夫みたいですね! (^_-)

なお、回答で言及された「二つのプラグインが共有」とは、「jQuery」の事を指しているのではないかと思われます。


https://wordpress.org/support/topic/general-question-about-security

Easy FancyBox
[resolved] General question about security (2 posts)

BackpackersUnion
Member
Posted 1 month ago #

Hi RavanH,

This is probably old news to you, but I wanted to ask if the code exploit found in the other plugin “FancyBox” is relevant to your plugin? I’m not sure if they’re related to each other in any other way except the name, but wanted to ask.

Thanks for all your great work and here’s a link to the article

Thanks again,
Carl

https://wordpress.org/plugins/easy-fancybox/



——————————————————————-

RavanH
Member
Plugin Author
Posted 1 month ago #

Hi, no. Although the two plugins share more than the name (the script is called fancybox), the exploit was plugin specific.

 

Easy FancyBox
[解決]セキュリティに関する一般的な質問(2記事)

BackpackersUnion
メンバー
一月前に投稿されました #

RavanH こんにちは

これは、あなたにとって古いニュースかもしれませんが、もし他のプラグン「FancyBox」で、そのコードの脆弱性が見つかったならば、あなたのプラグインと関連するのかを尋ねたい。
もし、それらがその名前を除き、他の何らかの方法でお互いに関連しているのかどうか、私はわかりませんが、お伺いしたいです。
あなたの全ての偉大な仕事に感謝し、そして、ここはその記事へのリンクです。

再度、感謝します。
カール

https://wordpress.org/plugins/easy-fancybox/

———————————————————————-
RavanH
メンバー
プラグインの作者
一月前に投稿されました #

こんにちわ、いいえ。
その名(スクリプトがfancyboxと呼ばれている)以上に二つのプラグインが共有するのですが、その脆弱性はプラグインの仕様でした。

 

* 4月23日 追記
本件に関しては、以下のリンクに示されたWordPressの新しいリリースにより、クロスサイトスクリプティングの脆弱性が改善され、セキュリティが更に強化されたようです。 (このサイトは、既に新バージョンに更新済みです)

WordPress 4.1.2 Security Release

なお、WordPressの新バージョンへの更新は急がれますが、代わりにWordPressやプラグインの動作に不具合が発生するかもしれません。

* 5月9日 追記
WordPress 4.2.2のリリースにより、WordPress 4.1.2/4.2/4.2.1に存在した脆弱性と大半のバグが修正されました。