WordPressの開発チーム名乗るフィッシング - 不正プラグインに誘導

だまされて悪意あるプラグインを導入してしまうと、不正な管理者ユーザーを作成されたり、バックドアを設置され、ウェブサイトを乗っ取られるおそれがある。

同問題を受けて、WordPressのセキュリティチームは、ウェブサイトへプラグインやテーマのインストールを要求するメールを送信したり、管理者のユーザー名、パスワードを要求することはないと説明。フィッシング攻撃に注意するよう呼びかけた。

なお「CVE-2023-45124」そのものについては、10月4日に採番、予約されている。今回確認されたフィッシングメールの内容はでたらめだが、CVE番号そのものは架空でなく、今後別の脆弱性を識別するために使用される可能性があり、注意が必要となる。

（Security NEXT - 2023/12/12 ） ツイート

PR

関連記事

「SimpleHelp」に認証回避の脆弱性 - 管理操作が可能に
「Apache CXF」に複数の脆弱性 - 修正版が公開
先週注目された記事（2026年6月7日〜2026年6月13日）
「Oracle PeopleSoft」脆弱性、ランサム攻撃にも悪用 - 米当局が注意喚起
利用者の電話番号含む業務用携帯を紛失 - 地生いなわしろ
研究室端末でランサム被害、手術動画が流出か - 九大
学校向けネット写真サービスで個人情報流出
サポート詐欺被害で患者情報流出の可能性 - 藤医大病院
宿泊予約者にフィッシングメッセージ - 琵琶湖ホテル
アジア競技大会のグッズ販売フォームで設定ミス - 名古屋市