WordPressの人気テーマ「Divi」に深刻な脆弱性

コンテンツマネジメントシステム（CMS）の「WordPress」向けに提供されている人気テーマおよびプラグインに深刻な脆弱性が含まれていることがわかった。

脆弱性が明らかとなったのは、Elegant Themesが提供するテーマ「Divi」「Extra」およびプラグインの「Divi Builder」。ドラッグ＆ドロップで直感的にデザインなど行えることから人気を博しているテーマで広く利用されている。

これらツールに「寄稿者（Contributor）」以上の権限を持つユーザーによって、任意のPHPファイルをアップロードし、リモートよりコードの実行が可能となる脆弱性が明らかとなったもの。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.9」とレーティングされている。

6月に同脆弱性を報告したDefiantによれば、これらツールは推定で約70万サイトにインストールされているという。報告を受けたElegant Themesでは、調整を経て脆弱性を修正した「同4.5.3」を8月3日にリリース。アップデートが呼びかけられている。

（Security NEXT - 2020/08/05 ） ツイート

PR

関連記事

MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認
Dellストレージ管理製品に認証回避の脆弱性 - アップデートで修正
前月の更新で「Bamboo」「Jira」など脆弱性14件を修正 - Atlassian
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
アイ・オー製NAS管理アプリに権限昇格の脆弱性
コンテナ保護基盤「NeuVector」に複数脆弱性 - 「クリティカル」も
GitLab、アップデートを公開 - 脆弱性7件を解消
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
ZohoのAD管理支援ツールに脆弱性 - アップデートで修正