独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月25日、WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。東京電機大学 情報通信工学専攻 暗号方式・暗号プロトコル研究室の小島大輝氏が報告を行っている。影響を受けるシステムは以下の通り。
easy-popup-show すべてのバージョン
Ari Susanto が提供するWordPress 用プラグイン easy-popup-show には、クロスサイトリクエストフォージェリの脆弱性が存在し、当該製品に管理者権限でログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。
当該製品のサポートは既に終了しているため、JVNでは恒久的な対策として製品の使用を停止するよう呼びかけている。
