My WP Customize Admin/Frontend のアップデートを行いました。
最新バージョンは 1.21.1 になります。セキュリティ対応も含みますので、最新バージョンへの更新をお勧めします。 🙂
アップデート概要
- サイトエディター左上で、Avatar アイコンが有効になっている場合、Avatar アイコンの非表示
- 管理サイドメニューで、モバイル画面幅の場合の表示不具合対応
- XSS対策
詳細
普段、スマホで Google からのオススメ記事をよく見ることがあるのですが、 今回はその記事の中に、patchstack さんが公開していた Advanced Custom Fields プラグインの脆弱性報告に関する記事があり、気になって読んでいたのですが、これって、My WP Customize にも影響するんじゃね?と思い、調査しました。
結果としては、My WP Customize も同じような状況で対策されていなかったので対応いたしました。
1.21.0 以下の全バージョンが影響を受けると思いますので、古いバージョンのプラグインを使っているかたは最新版へのアップデートをお願いします。 🙂
そもそも、今回のXSS脆弱性の原因となった admin_body_class フィルターフックが出力される場所の
<body class=”wp-admin wp-core-ui no-js <?php echo $admin_body_classes; ?>“>
この部分ですが、 そもそもプラグインではなく WordPress 側で classの値すべてを、esc_attr() で囲むような作り方がいいのでは?と思いました。 😐
が、よく考えたら、この部分ってあまりカスタマイズしたい人なんて多くないと思いますし、ましてや $_GET 等で受け付けたリクエストの内容を admin_body_classes に追記されるなんて、思ってもいなかったかもしれないなぁ、と思いました。 😕
コメントを残す