サポート » プラグイン » 【XSS 脆弱性】Crazy Bone(狂骨)が公式ディレクトリから削除されている

  • 解決済 witch_doktor

    (@witch_doktor)


    長らく御世話になっているプラグインに不正ログイン監視プラグインである「Crazy Bone(狂骨)」があるのですが、この間調べてみると、公式ディレクトリから削除されていたようでした。

    調べてみたところ、削除に関する詳細は発表されていないようですが、この削除は一時的なものなのか恒久的なものでしょうか。もし恒久的なものであれば、管理サイトにおける代替策の検討もしたいところですので、もしご事情お知りの方がいらっしゃいましたらお教えいただければ幸いでございます。

    どうぞよろしくお願いします。

9件の返信を表示中 - 1 - 9件目 (全9件中)
  • モデレーター Daisuke Takahashi

    (@extendwings)

    作者の方に伺ったところ、都合により公開を終了されたそうです。
    今後メンテナンス等を行う予定もないそうです。

    Daisuke Takahashiさん、どうもありがとうございます。承知いたしましたー!

    モデレーター Seisuke Kuraishi (tenpura)

    (@tenpura)

    こちらのリポジトリに XSS 脆弱性の問題を修正したバージョン 0.6.0 が置いてあります。
    https://github.com/wokamoto/crazy-bone

    fixed XSS.
    Unauthenticated attackers can inject html/js into User-Agent HTTP request header resulting in persistent XSS on page /wp-admin/users.php?page=crazy-bone%2Fplugin.php.

    公式ディレクトリから削除された理由と関係があるかはわかりませんが、古いバージョンをお使いの方は使用を停止するか、新しいバージョンに更新した方がよさそうです。

    tenpuraさん、情報ありがとうございます。
    おや、今からおよそ17時間前のコミットですね。ともかくも、まずは更新しておこうと思います。

    モデレーター Seisuke Kuraishi (tenpura)

    (@tenpura)

    古いバージョンの利用者に周知されるまでトピックを固定にしておきます。

    モデレーター Okamoto Hidetaka

    (@hideokamoto)

    https://wordpress.org/plugins/crazy-bone/
    公式復活した様子です。

    Okamoto Hidetakaさん、ご報告ありがとうございます。
    なるほど、XSS脆弱性の修正バージョンですね。

    wokamotoさん、更新ありがとうございます。愛用しているプラグインですので、とても嬉しく思います。感謝します。

    ということで、これを読まれた方で、0.6.0以前のバージョンをお使いの方は早めにアップデートを…ということで一応このトピックは閉めてもよいのでしょうかね。管理者さまにお任せいたします。

    モデレーター Seisuke Kuraishi (tenpura)

    (@tenpura)

    ありがとうございます。
    トピック固定を解除し解決とします。

    0.6.0 以前に存在していた XSS 脆弱性ですが、以下のような UserAgent でアクセスされた場合、それを管理画面で表示すると JavaScript が実行されてしまうというものです。

    User-agent: <script>alert(1);</script>

    これを修正したものが ver.0.6.0 になります。
    0.6.0 以前を利用している場合は、管理画面でログイン履歴一覧を表示しなければ害はありませんが、はやめのアップデートをお願い致します。

9件の返信を表示中 - 1 - 9件目 (全9件中)
  • トピック「【XSS 脆弱性】Crazy Bone(狂骨)が公式ディレクトリから削除されている」には新たに返信することはできません。