Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開

「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。

20160602_wp_001.jpg
脆弱性が明らかとなり、アップデートが公開された「WP Mobile Detector」

脆弱性が明らかとなったのは、コンテンツマネジメントシステム「WordPress」において、アクセスしたスマートフォンなどを検知し、モバイル向けのテーマを表示するプラグイン「WP Mobile Detector」。

同プラグインに含まれるリサイズ用のプログラムに脆弱性が存在。簡単なリクエストを送信するだけで、攻撃者が任意のファイルをアップロードすることが可能な状態だった。

不審なアクセスがあったことから、White Fir Designが脆弱性に気が付き、5月29日に開発者であるwebsitez.comへ報告。5月31日にWordPress.orgよりプラグインが削除されたことを受け、同日にWhite Fir Designが実証コード(PoC)を公開していた。

websitez.comでは、6月2日に脆弱性を修正した「同3.6」を公開。6月3日には別の修正をくわえた最新版「同3.7」をリリースしている。

Sucuriが調査を行ったところ、脆弱性が公開されるより以前にあたる5月27日より少なくとも攻撃が発生していたことが判明。アップデートが公開された6月2日までゼロデイ攻撃の状態だった。ゼロデイ攻撃では、アダルトサイトへの誘導に悪用されていたという。

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware Workstation」などに深刻な脆弱性 - ホスト上でコード実行のおそれ
【訂正あり】「Oracle Database」にあらたな脆弱性、一部バージョンは7月のパッチで修正済み
「Samba」に5件の脆弱性 - 制御奪取や情報漏洩のおそれ
LinuxカーネルのIPフラグメント処理に脆弱性 - DoS攻撃受けるおそれ
MS、8月の月例パッチ公開 - 脆弱性2件でゼロデイ攻撃
「IKEv1 PSK」のメインモード、オフラインで総当たり攻撃受けるおそれ
Intelチップに脆弱性「Foreshadow」 - クラウドVM間で情報漏洩のおそれも
VMware、脆弱性「Foreshadow」向けにパッチを用意 - 緩和策も
セキュリティアップデート「OpenSSL 1.1.0i」「同1.0.2p」がリリース
「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定