WP Admin UI Customize アップデート(1.5.14)をしました

WordPress プラグイン「WP Admin UI Customize」 に脆弱性があるよ~とご連絡いただき、久しぶりにWP Admin UI Customize (1.5.14) をアップデートしました。

WP Admin UI Customize

今回はセキュリティアップデート(XSS対策)となり、WP Admin UI Customize 1.5.14より前のバージョンすべて影響を受けますので、プラグインをアップデートすることをおすすめします。 🙂

 

WP Admin UI Customize を更新する予定は特になかったのですが、前回 WP Admin UI Customize 1.5.13 の脆弱性のご連絡に続き、今回も脆弱性の報告をいただいたので、その修正のために約2年ぶりに更新しました。

脆弱性の内容としては、管理画面のカスタマイズのなかで一部の項目でJavascriptが実行できてしまう可能性があり、これを修正しています。 🙂

 

ちなみに今回は、JPCERT/CCさんより脆弱性のご連絡を受け、JVNアドバイザリ「JVN#87182660」が公開されています。

普段私は脆弱性の最新情報をJVNで見るだけで、JVNはどういう仕組みでIPAがどういう仕組みとかほとんど意識していなかったのですが、今回はおそらくJVNに掲載されるまでの事が必要という事なので、ちょっと仕組みが分からないと進める事も難しいな~と思い、色々参考にしながら進めました。

何をどうすればいいのか、どういう関係図で、何をどこに連絡したらいいのか、さっぱり分からない状態からのスタートでしたが、JPCERT/CCさんのご説明を受けつつ、何とかなったっぽいです。 😳

 

もし私と同じようにJPCERT/CCさんから脆弱性のご連絡を受けて、何をどういう風に進めたらいいんだろうという人がいれば、「JPCERT/CC – 脆弱性情報ハンドリングとは?」の「調整機関のポジションと調整プロセス」という、脆弱性の発見からJVNに公開されるまでのおおまかな流れ図があるので、それを参考にすると進めやすいと思います。

 

脆弱性発見のご連絡をしていただいた佐藤芽生様、脆弱性をご連絡していただきありがとうございました。
JPCERT/CCのご担当者様、JVNへの公開までご協力いただきありがとうございました。


投稿日

カテゴリー:

投稿者:

コメント

コメントを残す