脆弱性が 1.3.1までの HPB Dashboard Plugin 内に見つかりました。この脆弱性は 問題がある として分類されました。 この脆弱性により影響を受けるのは、未知の機能です。 未知の値で改ざんすることが、 クロスサイトスクリプティングを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-79 です。 CVEによる要約は以下の通りになっています。
【原文】
The HPB Dashboard WordPress plugin through 1.3.1 does not sanitise and escape some of its settings, which could allow high privilege users such as admin to perform Cross-Site Scripting attacks even when unfiltered_html is disallowed.
【日本語訳】
1.3.1までのHPBダッシュボードWordPressプラグインは、一部の設定を無毒化し退避していません。 これにより、 unfiltered_html が許可されていない場合でも、管理者などの特権の高いユーザーがクロスサイトスクリプティング攻撃を実行できる可能性があります。
* 出典
HPB DASHBOARD PLUGIN まで1.3.1 日付: WORDPRESS クロスサイトスクリプティング
本件の詳細は、現在調査中ですが、取りあえず以下のセキュリティパッチには対応しておいた方が良いでしょう。
]]>ホームページビルダー(HPB)のWordPressテーマのソーシャルボタンに、Twitterのツイート?ミニボタンを追加しました。Javaスクリプトの変更は不要で、ボタン画像の追加とPHPプログラムの変更のみです。管理画面にも対応します。
詳細は、以下リンク先の記事をご参照下さい。
ホームページビルダー(HPB)のWordPressテーマのソーシャルボタンに、Twitterのツイート?ミニボタンを追加
]]>[Japanese]
ホームページビルダーのダッシュボードを管理するプラグイン「hpbtools.php」にWordPressの最新バージョンならびに、Google/ソーシャルボタンへの非互換の記述があります。
また、SSL化にも対応していません。
当方では、以下の通り既に対応済みですが、周知のため、ここでご報告申し上げます。
1.ぱんくずリストが非互換
Googleのサポートが終了した「ぱんくずリストdata-vocabulary.orgスキーマ」が使用されている。
当方では、プラグイン「Markup (JSON-LD) structured in schema.org」を導入し、構造化データJSON-LD+schema.orgへの移行を完了しました。
但し、ホームページビルダーのテーマのプログラムの「header.php」から呼び出されるパンくずリスト生成プログラム「breadcrumb.php」の修正は必要です。
詳しくは、以下のブログを参照してください。
【SEO対策】Google検索の最適化(パンくずリストdata-vocabulary.orgから構造化データJSON-LD+schema.orgへの移行、ファビコンの変更
https://www.senris.com/breadcrumb/
2.add_submenu_page()の権限設定が非互換
ホームページビルダーののダッシュボードのプラグイン「hpbtools.php」にWordPressのAPIに非互換の記述がある。
詳しくは、以下のブログを参照してください。
WordPressのPHPデバッグで 警告「has_capがバージョン2.0.0 から非推奨」への対策
https://www.senris.com/has-cap-warning/
3.SSL化問題
(1)FacebookOGPタグ出力のコードが古く、”og:image”タグが最新のFacebookの規約に対応していない。
詳しくは、以下のブログを参照してください。
https://www.senris.com/ssl-conversion/
(2)Facebook「いいね!ボタン」のスクリプトが非互換
詳しくは、以下のブログを参照してください。
https://www.senris.com/update-200112/
[English]
There is a description of the latest version of WordPress and incompatibility with Google in the plugin “hpbtools.php” that manages the dashboard of the homepage builder.
Also, it does not support SSL.
I’ve already fixed with the following, but I’ll report it here for the publicity.
1. Breadcrumb list incompatible
The “breadcrumb list data-vocabulary.org schema”, which is no longer supported by Google, is used.
I have introduced the plugin “Markup (JSON-LD) structured in schema.org” and completed the migration of structured data to JSON-LD + schema.org.
However, it is necessary to modify the breadcrumb trail generator “breadcrumb.php” that is called from the homepage builder theme program “header.php”.
For more information, see the blog below:
[SEO measures] Google search optimization (Migration from breadcrumb trail data-vocabulary.org to structured data JSON-LD + schema.org, favicon change.
https://www.senris.com/breadcrumb/?lang=en
2. Incompatible permission settings for add_submenu_page ()
There is a description of incompatibility with WordPress API in the plugin “hpbtools.php” of the dashboard of the homepage builder.
For more information, see the blog below:
Workaround for warning “has_cap is deprecated from version 2.0.0” in PHP debugging of WordPress.
https://www.senris.com/has-cap-warning/?lang=en
3. SSL problem
(1) The Facebook OGP tag output code is old, and the “og: image” tag does not correspond to the latest Facebook rules.
For more information, see the blog below:
https://www.senris.com/ssl-conversion/?lang=en
(2) Facebook “Like button” script is incompatible
For more information, see the blog below:
]]>[Japanese]
ホームページビルダーのダッシュボードを管理するプラグイン「hpbtools.php」にWordPressの最新バージョンならびに、Google / social buttonへの非互換の記述があります。
また、SSL化にも対応していません。
当方では、以下の通り既に対応済みですが、周知のため、ここでご報告申し上げます。
1.ぱんくずリストが非互換
Googleのサポートが終了した「ぱんくずリストdata-vocabulary.orgスキーマ」が使用されている。
当方では、プラグイン「Markup (JSON-LD) structured in schema.org」を導入し、構造化データJSON-LD+schema.orgへの移行を完了しました。
但し、ホームページビルダーのテーマのプログラムの「header.php」から呼び出されるパンくずリスト生成プログラム「breadcrumb.php」の修正は必要です。
詳しくは、以下のブログを参照してください。
【SEO対策】Google検索の最適化(パンくずリストdata-vocabulary.orgから構造化データJSON-LD+schema.orgへの移行、ファビコンの変更
https://www.senris.com/breadcrumb/
2.add_submenu_page()の権限設定が非互換
ホームページビルダーののダッシュボードのプラグイン「hpbtools.php」にWordPressのAPIに非互換の記述がある。
詳しくは、以下のブログを参照してください。
WordPressのPHPデバッグで 警告「has_capがバージョン2.0.0 から非推奨」への対策
https://www.senris.com/has-cap-warning/
3.SSL化問題
(1)FacebookOGPタグ出力のコードが古く、”og:image”タグが最新のFacebookの規約に対応していない。
詳しくは、以下のブログを参照してください。
https://www.senris.com/ssl-conversion/
(2)Facebook「いいね!ボタン」のスクリプトが非互換
詳しくは、以下のブログを参照してください。
https://www.senris.com/update-200112/
[English]
There is a description of the latest version of WordPress and incompatibility with Google / social button in the plugin “hpbtools.php” that manages the dashboard of the homepage builder.
I’ve already fixed with the following, but I’ll report it here for the publicity.
1. Breadcrumb list incompatible
The “breadcrumb list data-vocabulary.org schema”, which is no longer supported by Google, is used.
I have introduced the plugin “Markup (JSON-LD) structured in schema.org” and completed the migration of structured data to JSON-LD + schema.org.
However, it is necessary to modify the breadcrumb trail generator “breadcrumb.php” that is called from the homepage builder theme program “header.php”.
For more information, see the blog below:
[SEO measures] Google search optimization (Migration from breadcrumb trail data-vocabulary.org to structured data JSON-LD + schema.org, favicon change.
https://www.senris.com/breadcrumb/?lang=en
2. Incompatible permission settings for add_submenu_page ()
There is a description of incompatibility with WordPress API in the plugin “hpbtools.php” of the dashboard of the homepage builder.
For more information, see the blog below:
Workaround for warning “has_cap is deprecated from version 2.0.0” in PHP debugging of WordPress.
https://www.senris.com/has-cap-warning/?lang=en
3. SSL problem
(1) The Facebook OGP tag output code is old, and the “og: image” tag does not correspond to the latest Facebook rules.
For more information, see the blog below:
https://www.senris.com/ssl-conversion/?lang=en
(2) Facebook “Like button” script is incompatible
For more information, see the blog below:
]]>if( mb_send_mail( $to,$subject, $body,$header ) ) {
↓
if( wp_mail( $to,$subject, $body,$header ) ) {