一言でまとめると
「WordPressの地図系プラグインOpenStreetMapの古い版に、ブラウザ上で不正スクリプトを実行される可能性がある欠陥が見つかったので、「乗っ取り」や「管理画面での不正操作」などの被害が出ています。
要点
WordPress用プラグイン「OpenStreetMap」に、XSS(クロスサイトスクリプティング)の脆弱性が見つかった、という注意喚起です。
影響を受けるのは、記事上では「OpenStreetMap 6.1.15より前のバージョン」と書かれています。
何が問題なのか
この脆弱性があると、攻撃者が細工したHTTPリクエストを使って、管理画面などに不正なスクリプトを埋め込める可能性があります。
その結果、同じページを開いた利用者のブラウザ上で、その不正スクリプトが実行されるおそれがあります。
XSSとは何か
XSSは、Webページの中に本来入るはずのないJavaScriptなどのスクリプトを混入させ、閲覧した人のブラウザで実行させる攻撃です。
起こりうる被害は、たとえば次のようなものです。
・管理者セッションの乗っ取り
・管理画面での不正操作
・偽の入力フォーム表示による情報窃取
・別サイトへの不正リダイレクト
記事の意味
このニュースは、「WordPress本体が危険」という話ではなく、特定のプラグインに問題があるという話です。
つまり、WordPressを使っていても、この「OpenStreetMap」プラグインを入れていなければ、この記事の脆弱性には基本的に直接は該当しません。
特に注意すべき人
次の条件に当てはまる場合は確認が必要です。
・自分のサイトがWordPressで動いている
・「OpenStreetMap」プラグインを使っている
・バージョンが6.1.15未満である
どう対応すべきか
記事の趣旨としては、開発者が修正版を出しているなら、最新版へ更新してください、ということです。
実際の対応は次の順です。
- WordPress管理画面でプラグイン一覧を開く
- 「OpenStreetMap」プラグインが入っているか確認する
- バージョンを確認する
- 6.1.15未満なら更新する
- 使っていないプラグインなら停止または削除も検討する
記事中の「HTTPリクエストを細工して」という表現について
これは、攻撃者が特定のURLや送信内容を不正に作って、脆弱な処理に危険なデータを渡す、という意味です。
それにより、そのデータがページ内にそのまま表示されると、ブラウザがそれをスクリプトとして実行してしまう可能性があります。