Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開

「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。

20160602_wp_001.jpg
脆弱性が明らかとなり、アップデートが公開された「WP Mobile Detector」

脆弱性が明らかとなったのは、コンテンツマネジメントシステム「WordPress」において、アクセスしたスマートフォンなどを検知し、モバイル向けのテーマを表示するプラグイン「WP Mobile Detector」。

同プラグインに含まれるリサイズ用のプログラムに脆弱性が存在。簡単なリクエストを送信するだけで、攻撃者が任意のファイルをアップロードすることが可能な状態だった。

不審なアクセスがあったことから、White Fir Designが脆弱性に気が付き、5月29日に開発者であるwebsitez.comへ報告。5月31日にWordPress.orgよりプラグインが削除されたことを受け、同日にWhite Fir Designが実証コード(PoC)を公開していた。

websitez.comでは、6月2日に脆弱性を修正した「同3.6」を公開。6月3日には別の修正をくわえた最新版「同3.7」をリリースしている。

Sucuriが調査を行ったところ、脆弱性が公開されるより以前にあたる5月27日より少なくとも攻撃が発生していたことが判明。アップデートが公開された6月2日までゼロデイ攻撃の状態だった。ゼロデイ攻撃では、アダルトサイトへの誘導に悪用されていたという。

(Security NEXT - 2016/06/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome」に今月4件目のゼロデイ脆弱性 - 悪用を確認
サーバ運用監視ソフト「Cacti」にアップデート - 複数脆弱性を修正
「IBM Security Guardium」に複数脆弱性 - パッチの適用を
NetflixのOSS「Genie」に脆弱性 - アップデートを提供
「Ivanti」の5製品に脆弱性 - 修正パッチがリリース
NAS向けにアップデートを公開、脆弱性5件を修正 - QNAP
マルウェア「Kinsing」、脆弱な「Apache Tomcat」サーバを攻撃の標的に
Cisco、アドバイザリ6件を公開 - 「Firepower 」などの脆弱性を修正
PBXサーバ「Asterisk」に脆弱性 - 不正通話のおそれ
QNAP、アドバイザリ4件を公開 - 「QTS」の深刻な脆弱性など解消