Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WordPressに対する改ざん攻撃、「コード実行」狙いも

コンテンツマネジメントシステム(CMS)の「WordPress 4.7」で追加された「REST API機能」に深刻な脆弱性が見つかった問題で、同脆弱性を利用したあらたな攻撃が確認されている。

Sucuriによれば、今回の脆弱性を利用し、リモートよりサーバ上でコードを実行しようとするエクスプロイトをあらたに確認したもの。

攻撃者は、投稿や固定ページ上でPHPを実行できる「Insert PHP」「Exec-PHP」といったプラグインを利用しているサイトを物色。今回明らかになった脆弱性によりコードの実行を試みるという。

Sucuriは、コードの実行が可能となれば、サイトの制御を掌握され、アフィリエイトのリンクや広告のインジェクションなど、攻撃者が収益化を図る手段が広がると指摘。

今後、今回の脆弱性を悪用する攻撃の主流になっていくのではないかと予想している。

(Security NEXT - 2017/02/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WordPress向け投票プラグインにXSSの脆弱性 - アップデートで修正
複数脆弱性を解消した「WordPress 4.7.3」 - セキュリティ以外でも39件を修正
WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か
公開済「WordPress 4.7.2」では深刻な脆弱性を修正 - 1週間遅れで情報開示
早急に「WordPress 4.7.2」へ更新を - 攻撃容易、改ざん被害も
セキュリティ関連の問題3件へ対処した「WordPress 4.7.2」がリリース
複数の脆弱性を修正した「WordPress 4.7.1」 - 「PHPMailer」の更新も
「WordPress 4.6.1」がリリース、脆弱性など17件のバグを修正
「PHPMailer」の脆弱性、「WordPress」などでは悪用できず
「PHPMailer」に脆弱性、メジャーCMSにも影響 - 修正不完全で再更新の見込み