WordPressサイトの管理プラグインなどに深刻な脆弱性
コンテンツマネジメントシステム(CMS)のWordPress向けに提供されているプラグイン「InfiniteWP Client」「WP Time Capsule」に深刻な脆弱性が明らかとなった。脆弱性を突かれるとサイトを乗っ取られるおそれがある。
「InfiniteWP Client」は、「WordPress」で運営する複数のサイトを、外部サーバより統合管理できるプラグイン。少なくとも30万件以上のサイトに導入されており、開発者のサイトでは50万以上のサイトで導入されているとうたわれている。
同プラグインに認証をバイパスできる脆弱性が明らかとなったもので、管理者のユーザー名さえわかれば、細工したリクエストでパスワードなしにプラグインが導入されたサイトへログインが可能となる。
同脆弱性は、WebARXが発見したもので、1月7日に開発者へ報告。脆弱性を解消した「同1.9.4.5」が翌8日にリリースされた。
またWordPressのバックアップサービス「Backup and Staging by WP Time Capsule」向けに提供されているプラグインにも同様の脆弱性が判明。WebARXより報告を受けた開発者は、脆弱性を修正した「同1.21.17」を提供している。
アップデートがリリースされたことを受け、WebARXではセキュリティアドバイザリを同月14日にリリースし、脆弱性の詳細を公表。プラグインの利用者へ注意を呼びかけている。
(Security NEXT - 2020/01/17 )
ツイート
PR
関連記事
データ分析可視化製品「Ivanti Xtraction」に複数脆弱性
「FortiOS」に複数脆弱性 - アップデートで修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
