Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

熊本競輪でサイト改ざん - 原因はWPプラグイン「FancyBox」の脆弱性

熊本市が運営する熊本競輪のウェブサイトが不正アクセスを受け、改ざんされていたことがわかった。WordPressプラグインにおける既知の脆弱性が攻撃を受けたという。

同市によれば、脆弱性を狙った不正アクセスが2月19日にあり、サイトの改ざんが発生。関係ない外部サイトのデータを読み込む状態だった。

期間中に967人がアクセスしているが、すでに読み込まれる外部サイトは閉鎖されており、具体的な影響はわかっていない。被害の報告などは寄せられていないが、閲覧によってマルウェアなどへ感染している可能性もある。

今回脆弱性が突かれたのは、同サイトでコンテンツマネージメントシステム(CMS)として利用しているWordPressで活用していたプラグインの「FancyBox」。

同プラグインは、コンテンツやスクリプトが挿入される深刻な脆弱性「CVE-2015-1494」が存在。ゼロデイ攻撃による改ざん被害が2月に入って判明し、2月4日に修正版がリリースされている。

同市は、脆弱性への対応が遅れたことが原因のひとつであると説明。修正した上で、23日19時過ぎよりウェブサイトを再開している。

(Security NEXT - 2015/02/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WPプラグイン「Network Summary」に深刻な脆弱性 - パッチ未提供
WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に
「WordPress」向けファイル管理プラグインにパストラバーサルの脆弱性
バックアッププラグイン「WPvivid」の旧版に深刻な脆弱性
「WordPress」向けメンバー管理プラグインにSQLi脆弱性
「WP eCommerce plugin」に深刻な脆弱性 - パッチは未提供
「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
「WordPress」向け予約管理プラグインに脆弱性 - アップデートが公開
「WordPress 6.4.3」がリリース - 脆弱性2件に対応