Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「.htaccess」ファイル改ざんに注意 - CMSが標的に

コンテンツマネジメントシステム(CMS)において、「htaccessインジェクション」の手口が確認されている。サイトの閲覧者を外部サイトへ誘導するなど悪用されるおそれがある。

ウェブサーバの公開ディレクトリ内に設置し、アクセス制御などに用いる「.htaccess」ファイルに、悪意あるコードを追加する手口で、攻撃を確認したSucuriが注意を呼びかけた。

ウェブ管理者に悪意あるPHPを実行させ、サイトのディレクトリ内に設置された「.htaccess」ファイルを検索して悪意あるコードを挿入していると見られる。同社が確認したケースでは、「Joomla」向けの不正なモジュールを用いて攻撃が行われていた。

「.htaccess」ファイルに挿入されたコードは、「WordPress」および「Joomla」の構造に対応した内容となっていたという。

(Security NEXT - 2019/05/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WordPress向けのテーマやプラグイン「Jupiter」に深刻な脆弱性
WordPressのデザインを制御する人気プラグインに深刻な脆弱性
ヘッドレスCMS「Directus」に権限昇格の脆弱性 - アップデートが公開
「Movable Type」の既知脆弱性を探索するアクセスが増加
セキュリティアップデート「WordPress 5.9.2」がリリース
「Drupal」に2件の脆弱性 - アップデートが公開
「Drupal」に複数脆弱性 - サードパーティ製ライブラリに起因
WordPress向けクイズプラグインに3件の脆弱性
「WordPress」にセキュリティアップデート - 4件の脆弱性を解消
「Movable Type」、10月の脆弱性対策が不十分で追加修正 - 至急アップデートを