WordPressの開発チーム名乗るフィッシング - 不正プラグインに誘導

だまされて悪意あるプラグインを導入してしまうと、不正な管理者ユーザーを作成されたり、バックドアを設置され、ウェブサイトを乗っ取られるおそれがある。

同問題を受けて、WordPressのセキュリティチームは、ウェブサイトへプラグインやテーマのインストールを要求するメールを送信したり、管理者のユーザー名、パスワードを要求することはないと説明。フィッシング攻撃に注意するよう呼びかけた。

なお「CVE-2023-45124」そのものについては、10月4日に採番、予約されている。今回確認されたフィッシングメールの内容はでたらめだが、CVE番号そのものは架空でなく、今後別の脆弱性を識別するために使用される可能性があり、注意が必要となる。

（Security NEXT - 2023/12/12 ） ツイート

PR

関連記事

高校で生徒の進路希望先を記載した一覧表を紛失 - 三重県
「PowerDNS Recursor」の特定バージョンにDoS脆弱性
「イオンカード」装うフィッシング - 利用明細や取引制限など偽装
メール誤送信で歴史ツアー参加者のメアド流出 - 横須賀市観光協会
介護保険の高額合算療養費申請書約2500件を紛失 - 横浜市
サーバがランサム感染、個人情報流出の可能性 - 豊島
「VMware Avi Load Balancer」に認証情報漏洩など複数脆弱性
「WordPress」向けソーシャルログイン用プラグインに脆弱性 - パッチ未提供
Google、ブラウザ「Chrome」のセキュリティアップデートを公開
建築工事費調査で別人の調査票を重複して誤封入 - 国交省