Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開

「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。

20160602_wp_001.jpg
脆弱性が明らかとなり、アップデートが公開された「WP Mobile Detector」

脆弱性が明らかとなったのは、コンテンツマネジメントシステム「WordPress」において、アクセスしたスマートフォンなどを検知し、モバイル向けのテーマを表示するプラグイン「WP Mobile Detector」。

同プラグインに含まれるリサイズ用のプログラムに脆弱性が存在。簡単なリクエストを送信するだけで、攻撃者が任意のファイルをアップロードすることが可能な状態だった。

不審なアクセスがあったことから、White Fir Designが脆弱性に気が付き、5月29日に開発者であるwebsitez.comへ報告。5月31日にWordPress.orgよりプラグインが削除されたことを受け、同日にWhite Fir Designが実証コード(PoC)を公開していた。

websitez.comでは、6月2日に脆弱性を修正した「同3.6」を公開。6月3日には別の修正をくわえた最新版「同3.7」をリリースしている。

Sucuriが調査を行ったところ、脆弱性が公開されるより以前にあたる5月27日より少なくとも攻撃が発生していたことが判明。アップデートが公開された6月2日までゼロデイ攻撃の状態だった。ゼロデイ攻撃では、アダルトサイトへの誘導に悪用されていたという。

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ワークフロー管理ツール「Apache DolphinScheduler」に脆弱性
Samsung、モバイル端末の複数脆弱性を修正 - 一部で悪用も
AI開発フレームワーク「Flowise」に複数の「クリティカル」脆弱性
「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.