[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPressのプラグイン「WP Super Cache」に深刻な脆弱性



wpplgn0

WordPressのプラグイン「WP Super Cache」に深刻な脆弱性
悪用されれば管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるという。

Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見され、修正のためのアップデートが公開された。

WP Super Cacheはダウンロード数が100万を超えている人気プラグイン。最新バージョンの1.4.4で脆弱性が修正されている。

セキュリティ企業Sucuriの4月7日のブログによると、修正前のバージョンには持続型クロスサイトスクリプティング(XSS)の脆弱性が存在していた。悪用された場合、攻撃者が細工を施したクエリを使って同プラグインのキャッシュされたファイルリスティングページに悪質なスクリプトを挿入することが可能だった。

ただし、このページを表示するためには有効なnonceを必要とすることから、攻撃を成功させるためにはWebサイトの管理者に手作業でその特定の部分を参照させる必要があるという。

問題のスクリプトが実行されれば新しい管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるとして、Sucuriではできるだけ早くWP Super Cacheを最新バージョンに更新するよう呼び掛けている。

WordPressプラグインに脆弱性 – US-CERT
[2015/04/10]

US-CERTは4月9日(米国時間)、「WP Super Cache Cross-Site Scripting (XSS) Vulnerability」において、WordPressのプラグインである「WP Super Cache」の特定のバージョンに永続的に機能するクロスサイトスクリプティングの脆弱性が存在すると伝えた。この脆弱性を悪用されると、影響を受けたシステムの制御権を乗っ取られる危険性がある。

この脆弱性が存在するのは「WP Super Cache」のバージョン1.4.4よりも前のバージョン。US-CERTでは、WordPressのユーザーや管理者に対し脆弱性の内容を確認するとともに、脆弱性が存在するバージョンを使っている場合はバージョン1.4.4へアップグレードすることを推奨している。

WordPressは世界中で使われているCMSであり、脆弱性を突いた攻撃が実施されやすいソフトウェアとしても知られている。WordPress自体の脆弱性ではなく、WordPressで使われるプラグインやテーマの脆弱性が悪用されることが多い。WordPressを使用している場合は、WordPressのみならず、使用しているプラグインやテーマについてもセキュリティ情報をチェックしておくことが推奨される。





FavoriteLoadingお気に入りAdd to favorites
WordPress用モバイル対応プラグイン「WP Mobile Detector」にゼロデイ攻撃 &... WordPress用モバイル対応プラグインにゼロデイ攻撃 - 修正版が公開 「WordPress」において、モバイル端末向けに最適なテーマを表示するためのプラグイン「WP Mobile Detector」に脆弱性が存在し、ゼロデイ攻撃が発生していたことがわかった。修正版がリリースされている。 ...
古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か... 古いバージョンのWordPressとDrupalがパナマ文書漏洩に関与か WordPressに関する記事を専門的に掲載しているWordPress Vaternに4月6日(米国時間)に掲載された記事「Outdated and Vulnerable WordPress and Drupal V...
WordPress用ECサイト向けプラグイン「WP e-Commerce Shop Styling」... WordPress用ECサイト向けプラグインに脆弱性 WordPress向けに提供されているECサイト用プラグイン「WP e-Commerce Shop Styling」に深刻な脆弱性が含まれていることがわかった。 同ソフトは、CMSであるWordPressをECサイトとして利用する...
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増... 偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増 Charlie Osborne (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2016年04月05日 16時32分  サイバーセキュリティ企業Avast Softwa...
「WordPress 4.2.3」公開、XSSの脆弱性を修正... 「WordPress 4.2.3」公開、XSSの脆弱性を修正 XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。  WordPressの脆弱性を修正した更新版の「WordPress 4.2.3」が7月23日付でリリースされた。...
WordPress向けプラグイン「Nofollow Links」に脆弱性... WordPress向けプラグイン「Nofollow Links」に脆弱性 WordPress向けに提供されているプラグイン「Nofollow Links」に脆弱性が含まれていることがわかった。アップデートがリリースされている。 同プラグインは、WordPressにおいて特定のリンクへ「n...
複数のWordPressプラグインに脆弱性「Vulnerabilities Identified i... 複数のWordPressプラグインに脆弱性  l ead=8月12日(米国時間)、Threatpostに掲載された記事「Vulnerabilities Identified in Several WordPress Plugins|Threatpost|The first stop for ...
WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性... WordPressへ「お気に入り機能」を追加するプラグインにXSSの脆弱性 コンテンツマネジメントシステム(CMS)のWordPress向けに提供されているプラグイン「WP Favorite Posts」に脆弱性が含まれていることがわかった。 同プラグインは、WordPressへ「お気に...
「WordPress 4.3」が公開 – セキュリティ強化や180のバグ修正を実施... 「WordPress 4.3」が公開 - セキュリティ強化や180のバグ修正を実施 コンテンツマネジメントシステム(CMS)「WordPress」の開発者グループは、新版となる「同4.3」を提供開始した。 同バージョンは、ジャズシンガーのBillie Holidayにちなみ、「Bil...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...

コメントを残す