Announce from the Dashboard のアップデートを行いました。 最新バージョンは1.5.3です。
今回はセキュリティアップデート(XSS対策)になりますので、最新バージョンへのアップデートをお勧めします。 🙂
Wordfenceから「脆弱性あるよ!」とご連絡をいただく
今回、Announce from the Dashboard に脆弱性のご連絡をいただき、アップデートしました。
脆弱性の内容としてはシンプルで、Javascriptを入力すると、それが出力される、というものです。
しかし、このプラグインで、それ自体も出来るようにしたほうがいいよな~(いちいちJavascriptをテーマやプラグインに書いて保存する事自体、ちょっと手間だよな~)
と思ったため、そのようにしたような記憶があるような、無いような。。。 😳
私の理解が間違っている or 足りていないからなのか分かりませんが、これは脆弱性になるんだろうか。。。
と疑問が出ましたが、結局答えが出ず。
(おそらく、なるべく機能を分けて、それぞれを最小限の機能ができるようにすればいいのかな?)
とりあえず、最新版のWordPressには対応させる気はないし、あまりこのプラグインを使われているユーザーも多くないと思いましたので、Javascriptを入力しても実行されないよう、更新をしました。
もし Announce from the Dashboard にJavascriptを必要として入力していたかたは、1.5.3からはサニタイズされますので、別の方法(テーマファイルに書く等)でご対応お願いします。 😉
Announce from the Dashboard は今後もセキュリティアップデートのみで、新機能の開発は行わない予定なので、もっと機能が欲しい方は My WP Customize のアドオン「My WP Add-on Announce」を組み合わせてご利用ください。 🙂
コメントを残す