[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPressプラグイン「CCTM」にバックドア見つかる



WordPressプラグイン「CCTM」にバックドア見つかる [2016/03/07]

banner-772x250世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも含めて常に最新のバージョンにアップデートし続けることが求められている。今回、Custom Content Type Manager (CCTM)と呼ばれる人気の高いプラグインで問題が発見されたという。

CCTMにバックドアが仕込まれていることに複数の関係者が同時期に気づいたとされており、Sucuriは3月4日(米国時間)、「When a WordPress Plugin Goes Bad – Sucuri Blog」において、バックドアを発見した経緯や、バッグドアによってどうやってユーザ情報が窃取されるかなどを報告した。

CCTMに発見されたバックドアは開発に使われているリポジトリに正式にコミットされたものであることが、今回の重要事項として取り上げられている。こうしたことが起こった経緯は推測にとどまっているが、すでに開発が1年ほど停滞していることから、オリジナル開発者がほかの開発者にコミット権限を付与してほぼ開発を譲渡。譲り受けたコミッターのアカウントが何らかの方法で攻撃者に漏れ、このアカウントを経由して不正なコミットを実施するに至ったのではないかと説明されている。

プラグインやアドオンといったソフトウェアは、本体のソフトウェアよりも開発のモチベーション維持が短期間になることがある。脆弱性が発表されていないとしても、それはすでに開発が終了したか、開発者のモチベーションが低下したことで開発に取り組まれていないことが理由になっていることもある。プラグインを利用する場合はこうしたプラグインのライフサイクルも加味しながら、アップデート計画や随時別のプラグインに置き換えるといった取り組みを実施することが推奨される。





FavoriteLoadingお気に入りAdd to favorites
WordPress用プラグイン「WP-OliveCart」に複数の脆弱性(JVN)脆弱性と脅威 セキ... WordPress用プラグイン「WP-OliveCart」に複数の脆弱性(JVN)脆弱性と脅威 セキュリティホール・脆弱性 2016年10月21日(金) 08時00分 独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1...
「WordPress 4.7.3」公開 – セキュリティ以外でも39件を修正... 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 2017年3月7日 11:59  WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロス...
WordPress向けプラグイン「Nofollow Links」に脆弱性... WordPress向けプラグイン「Nofollow Links」に脆弱性 WordPress向けに提供されているプラグイン「Nofollow Links」に脆弱性が含まれていることがわかった。アップデートがリリースされている。 同プラグインは、WordPressにおいて特定のリンクへ「n...
「WordPress 4.5.3」がリリース – 複数の脆弱性を解消... 「WordPress 4.5.3」がリリース - 複数の脆弱性を解消 コンテンツマネジメントシステム(CMS)である「WordPress」の開発者グループは、脆弱性や不具合を解消した最新版「WordPress 4.5.3」を公開した。更新を強く推奨している。 今回のアップデートは、セキュ...
Google Analytics連携用のWordPress向けプラグイン「Google Analyt... 「Google Analytics」連携用のWordPress向けプラグインに脆弱性 「Google Analytics」との連携を実現する「WordPress」向けプラグイン「Google Analyticator」に脆弱性が含まれていたことがわかった。アップデートが公開されている。...
分析用JavaScriptコードのフリをしたマルウェアに注意 – WordPress... 分析用JavaScriptコードのフリをしたマルウェアに注意 - WordPress Webページへのアクセスを分析する目的で各ページに分析用のJavaScriptコードを挿入することがある。アクセスデータはサービスを提供しているベンダーで集計され、多くの場合は専用のダッシュボードを経由し...
ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグイン「Fancybox fo... ISISと称する攻撃者によるWebサイト改ざん、WordPressプラグインの脆弱性を悪用か キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる...
WordPress用ECサイト向けプラグイン「WP e-Commerce Shop Styling」... WordPress用ECサイト向けプラグインに脆弱性 WordPress向けに提供されているECサイト用プラグイン「WP e-Commerce Shop Styling」に深刻な脆弱性が含まれていることがわかった。 同ソフトは、CMSであるWordPressをECサイトとして利用する...
WordPressに複数の脆弱性 最新版「WordPress 4.7.2」公開... WordPressに複数の脆弱性 Automatticは1月26日(米国時間)、「WordPress 4.7.2 Security Release」において、WordPressの最新版となる「WordPress 4.7.2」の公開を伝えた。このバージョンは脆弱性を修正したセキュリティリリー...
「PHPMailer」の脆弱性、「WordPress」などでは悪用できず... 「PHPMailer」の脆弱性、「WordPress」などでは悪用できず PHPライブラリ「PHPMailer」に脆弱性が見つかった問題で、同ライブラリを利用する「WordPress」「Joomla!」「Drupal」いずれも、コア部分では脆弱性を悪用される懸念がないことがわかった。 問...




コメントを残す