ITソリューション事業本部　システムアセスメント部の熊丸です。

WP Statisticsは、Wordpressのプラグインでアクセス解析をするためのプラグインです。利用しているサイトは非常に多く、2022年5月時点で600,000以上のサイトで利用されています。

今回、私が「WP Statistics」にクロスサイトスクリプティングの脆弱性を発見したため、IPAに届出を行いました。

この脆弱性が悪用されると、管理者がWordpressにログインしている状態で攻撃者が用意した罠リンクをクリックすることで、任意のスクリプトがブラウザ上で実行される可能性があります。

そして、この度開発者による修正が完了し、脆弱性対策情報ポータルサイト「JVN」にて公開されました。現状システムで利用をしている方、および、これから利用を考えている方は、最新版を利用してください。

■影響を受けるシステム
WP Statistics 13.2.0 より前のバージョン

■詳細情報
VeronaLabs が提供する WordPress 用プラグイン WP Statistics には、ウェブページを出力する際の処理が不適切なため、任意のスクリプトが埋め込まれてしまう脆弱性が存在しました。

画像は、攻撃が成功した際の様子です。管理者ユーザのCookie情報が表示されました。これは、利用者が意図していないにもかかわらず、任意のスクリプトがブラウザ上で実行させられたことを示します。

▲実際に脆弱性が発現している様子

■対策方法
開発者が提供する情報をもとに、最新版へアップデートしてください。
WP Statistics : WP Statistics
WP Statistics : Changelog

■公表までの経緯
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、私からIPAに報告し、JPCERT/CCにより開発者との調整が行われました。

JVN#15241647

JVNDB-2022-000038

■CVE番号

CVE-2022-27231