WordPress プラグイン「WP Admin UI Customize」 に脆弱性があるよ~とご連絡いただき、久しぶりにWP Admin UI Customize (1.5.14) をアップデートしました。
今回はセキュリティアップデート(XSS対策)となり、WP Admin UI Customize 1.5.14より前のバージョンすべて影響を受けますので、プラグインをアップデートすることをおすすめします。 🙂
WP Admin UI Customize を更新する予定は特になかったのですが、前回 WP Admin UI Customize 1.5.13 の脆弱性のご連絡に続き、今回も脆弱性の報告をいただいたので、その修正のために約2年ぶりに更新しました。
脆弱性の内容としては、管理画面のカスタマイズのなかで一部の項目でJavascriptが実行できてしまう可能性があり、これを修正しています。 🙂
ちなみに今回は、JPCERT/CCさんより脆弱性のご連絡を受け、JVNにアドバイザリ「JVN#87182660」が公開されています。
普段私は脆弱性の最新情報をJVNで見るだけで、JVNはどういう仕組みでIPAがどういう仕組みとかほとんど意識していなかったのですが、今回はおそらくJVNに掲載されるまでの事が必要という事なので、ちょっと仕組みが分からないと進める事も難しいな~と思い、色々参考にしながら進めました。
何をどうすればいいのか、どういう関係図で、何をどこに連絡したらいいのか、さっぱり分からない状態からのスタートでしたが、JPCERT/CCさんのご説明を受けつつ、何とかなったっぽいです。 😳
もし私と同じようにJPCERT/CCさんから脆弱性のご連絡を受けて、何をどういう風に進めたらいいんだろうという人がいれば、「JPCERT/CC – 脆弱性情報ハンドリングとは?」の「調整機関のポジションと調整プロセス」という、脆弱性の発見からJVNに公開されるまでのおおまかな流れ図があるので、それを参考にすると進めやすいと思います。
脆弱性発見のご連絡をしていただいた佐藤芽生様、脆弱性をご連絡していただきありがとうございました。
JPCERT/CCのご担当者様、JVNへの公開までご協力いただきありがとうございました。
コメントを残す