Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WordPress向けセキュリティプラグインに複数の脆弱性

WordPressにおいてセキュリティ機能を追加するプラグイン「All In One WP Security&Firewall」に複数の脆弱性が含まれていることがわかった。修正版が公開されている。

同ソフトは、オープンソースの人気コンテンツマネジメントシステム(CMS)であるWordPress向けに提供されているセキュリティ機能を追加するプラグイン。認証や不正アクセス対策、スパム対策などを備える。

脆弱性情報のポータルサイトであるJVNによれば、管理ページへログインした状態で悪意あるページを読み込んだ場合、任意のSQLコマンドを実行される脆弱性「CVE-2015-0894」が、「同3.8.7」およびそれ以前のバージョンに含まれる。

また、「同3.8.9」およびそれ以前に関しては、プラグインが管理するアクセスログを削除されるおそれがあるクロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2015-0895」が存在。いずれの脆弱性についても修正した「同3.9.0」が公開されている。

今回修正された「CVE-2015-0894」に関しては、JPCERTコーディネーションセンターが調整を実施したもので、ななおく氏が情報処理推進機構(IPA)へ報告したものだという。

(Security NEXT - 2015/03/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

1週間に2400件超のサイト改ざん - 詐欺サイト誘導の踏み台に
WordPress用レビュープラグインにXSSの脆弱性
「WordPress」向けニュースレタープラグインに脆弱性
GDPR対応で「WordPress」がアップデート - プライバシー保護機能を強化
WordPress向けメンバー管理プラグインに複数の脆弱性
WordPress向けOGP設定用プラグインに脆弱性
WordPress向けGoogle Map表示用プラグインにXSSの脆弱性
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
「WordPress 4.9.5」がリリース、セキュリティ関連など28件のバグを修正
WordPress向けデータインポート用プラグインに2件の脆弱性