Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因

WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。

他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたという。

攻撃者はこれら侵害したアカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生した。

同問題を受けてWordPress.orgでは、プラグイン所有者に対して注意を呼びかけた。

適切な権限設定やプラグインを更新できる開発者の定期的な監査、リリースにあたり確認を行うオプトイン機能の活用、第三者が予想できない堅牢なパスワード、2要素認証の活用などを呼びかけている。

またアカウントを複数のユーザーで共有する危険性を指摘。ひとりでも侵害を受けるとパスワードリセットが実行されてパスワードを取得され、プラグインの破壊や閉鎖などにもつながるおそれがあるとして注意を呼びかけている。

(Security NEXT - 2024/06/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ファイル転送サーバに不正アクセス、個人情報流出か - 沖縄総合事務局
「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
先週注目された記事(2026年4月26日〜2026年5月2日)
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
小中20校で児童生徒の個人情報を同意なしにPTAへ提供 - 静岡市

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.