WP Admin UI Customize のプラグインに脆弱性があるよ~とご連絡いただき、久しぶりにWP Admin UI Customize(1.5.13) をアップデートしました。
今回はセキュリティアップデート(XSS対策)となりますので、プラグインをアップデートすることをおすすめします。 🙂
以下は今回のアップデートに関するような、関しないような日記的なものです。 😛
今回の脆弱性報告ですが、おそらく
という流れでご連絡いただいたようでした。
WP Scanって、日本で言うJapan Vulnerability Notesに近いものかな?と思いつつ、今回の脆弱性報告でWP Scanの存在を初めて知りました。
脆弱性を再現するための説明として手順や動画まであり(言葉だけではなく画像や動画などもあるご説明は開発者としてすごく助かります)、詳細を確認すると確かに一部エスケープ処理が足りずにJavascriptが実行できてしまう脆弱性となっていました。(参考 – IPA 1.5 クロスサイト・スクリプティング)
WP Admin UI Customize の開発はストップしていましたが、脆弱性であれば対応したほうがいいよな~と思い、2年ぶりに更新してみるか~と思いきや、なんと2年ではなく4年ぶりという事に自分で驚きでした。 🙄
「ん? そんなに経ってる? 2年しか経っていないと思ったんだけど。。どこかでタイムリープでもされた?? まぁいいや」 😳
という事で、久しぶりにプラグインのソースコードを確認すると、
「なんでこんな書き方したんだっけ? ふぇっ? 何これ、誰が書いたの?」(私です 😳 )
と、脆弱性というより、昔の乏しい記憶と勝手に戦いつつ、脆弱性報告の指摘箇所以外も含めて更新しました。
あまりにも久しぶり過ぎて、自分でもこのコードの書き方で合っているかな?と不安になりましたが、一通り動作確認もしたのでおそらく大丈夫だと思います。(もし不具合ありましたらご連絡ください)
今回の更新内容を詳しく見たい方は、以下のリンクから更新の差分を確認できますので良かったらご確認ください。 🙂
https://plugins.trac.wordpress.org/changeset/2811705/wp-admin-ui-customize
ってことで、アップデートも終えたしこれで終わりかな。
と思い安心していたところ、次は全く別の方から
「今回の更新は本物の更新だよね?You のアカウントがハッキングされた訳ではないよね?」
みたいなコメントいただき、
「ほわっつ? ハッキングなんてされてないけど、なんでそんな事聞く?そんなに変なソースコードだった?」
「あ、もうアップデートなんてされないと思っていたプラグインから、4年ぶりに急にアップデート通知が来たから怪しく感じられた??」 😳
という事かなと思いました。(私自身も更新するとは思っていなかったし)
よくよく聞くと、全く意味の分からない文章があったり、英語のページで日本語(日本語が分からない外国人には変な漢字) が書いてあったり、で怪しく感じられたみたいでした。
なのでこれからは、readme には日本語は使わず、分かりやすい文章にして、プラグインを更新して、プラグインの説明ページとは別でブログやSNSなどで、
「プラグイン更新したよ~、久しぶり~オレだよオレオレ~」
っていうコメントを書けばいいんだろうと思っています。 😛
あれ?そういえば、2年間ぐらいの記憶が飛んでいたな。。
あれ?いつのまにこんなに白髪が増えたっけ?
あれ?いまこのブログを書いている人(私)は本当に本人なんだろうか。。 😯
途中、自分でも一体何を書いているんだろうと思いつつ、久しぶりにブログ書きましたが、楽しく読んでいただけたら幸いです。
🙂
コメントを残す