[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPress脆弱性プラグイン&テーマ



WordPress用プラグイン「All in One SEO Pack」における情報管理不備の脆弱性に関する情報を、JVN(Japan Vulnerability Notes)において公表した。

All in One SEO Packでは、初期設定で、本文の一部を含むMETAタグをページに追加する機能が有効となっており、WordPressの「パスワード保護」機能で閲覧を制限したページであっても、追加されたMETAタグから、パスワードを知らない第三者によって本文の一部を閲覧される可能性がある。

影響を受けるバージョンは、All in One SEO Pack Version 2.2.5.1およびそれ以前のもの。

同脆弱性の影響を回避するためには、All in One SEO Packの設定画面で「詳細を自動生成」(“Autogenerate Descriptions”)機能を無効にするか、または開発者が提供する情報をもとに、最新版へのアップデートを実施すればよいとのこと。

2015/03/26
脆弱性が含まれているのは「flashy version 1.3」および以前のバージョン。クロスサイトスクリプティングの脆弱性「CVE-2015-0901」により、ブラウザ上で任意のスクリプトを実行されるおそれがある。

コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。

同製品は、WordPressにおいてサーチエンジンに対する最適化(SEO)機能を提供する人気プラグイン。今回明らかとなった脆弱性は、WPScanの開発メンバーが発見、報告したもので、実証コードも公開されている。

一部ページに、ブラインドSQLインジェクションの脆弱性「CVE-2015-2292」やクロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2015-2293」が存在。これらを組み合わせ、WordPressの管理画面へログインしたユーザーに、攻撃者が用意したサイトを訪問させたり、細工したリンクをクリックさせることで、ブラインドSQLインジェクション攻撃が実行されるおそれがある。

開発元では、脆弱性を修正した「同1.7.4」を用意。提供を開始している。

キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる事案について報告した。

同社によると、「Islamic State (ISIS)」と称する攻撃者は国内外のWebサイトを対象に攻撃を行っており、改ざんされたWebサイトにアクセスすると「Islamic State (ISIS)」の画像や「Hacked by Islamic State (ISIS)」といったメッセージが表示されるという。

いくつかのサイトでは、WordPressのプラグイン「Fancybox for WordPress」の脆弱性を悪用し、改ざんが行われた可能性があるとのことだ。この脆弱性は以前から確認されており、ESETの「We live security」にて、2015年2月6日に報告されている。

この脆弱性を含んでいるのは、Fancybox for WordPress 3.0.2以前のバージョンだが、脆弱性はすでに修正されているという。同社は、Fancybox for WordPressプラグインを利用している場合、最新バージョンへアップデートするよう注意を呼びかけている。





FavoriteLoadingお気に入りAdd to favorites
WordPressの人気プラグイン「Akismet」にクロスサイトスクリプティング脆弱性... WordPressの人気プラグインにクロスサイトスクリプティング脆弱性 10月15日(米国時間)、Threatpostに掲載された記事「WordPress Fixes Stored XSS Vulnerability in Akismet|Threatpost|The first s...
WordPress向けネットショッププラグイン「Welcart e-Commerce」に脆弱性... WordPress向けネットショッププラグインに脆弱性 eコマースサイトを構築できるWordPress向けプラグイン「Welcart e-Commerce」に複数の脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「同1.4.17」や以前のバージョンに...
WordPress向けテーマ「flashy」に脆弱性 – 利用停止を... WordPress向けテーマ「flashy」に脆弱性 - 利用停止を WordPress向けに提供されている「flashy」にクロスサイトスクリプティングの脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、脆弱性が含まれているのは「flashy...
キャッシュプラグイン「WP Super Cache」に複数の脆弱性... キャッシュプラグイン「WP Super Cache」に複数の脆弱性 コンテンツマネジメントシステム「WordPress」向けに提供されているプラグイン「WP Super Cache」に複数の脆弱性が含まれていることがわかった。アップデートが公開されている。 「WP Super Cache...
分析用JavaScriptコードのフリをしたマルウェアに注意 – WordPress... 分析用JavaScriptコードのフリをしたマルウェアに注意 - WordPress Webページへのアクセスを分析する目的で各ページに分析用のJavaScriptコードを挿入することがある。アクセスデータはサービスを提供しているベンダーで集計され、多くの場合は専用のダッシュボードを経由し...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...
60万以上のサイトで導入済のWordPress用フォームプラグイン「Ninja Forms」に脆弱性... 60万以上のサイトで導入済のWordPress用フォームプラグインに脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Ninja Forms」に、SQLインジェクションの脆弱性が判明した。 同プラグインは、フォーム機能を追加できるソフ...
WP人気SEOプラグイン「WordPress SEO by Yoast」にブラインドSQLiやCSR... WP人気SEOプラグインにブラインドSQLiやCSRFの脆弱性 コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。 同製品は、WordPressにおいてサーチエンジ...
WordPress、人気eコマースサイトプラグインに脆弱性... WordPress、人気eコマースサイトプラグインに脆弱性 11月22日(米国時間)、Threatpostに掲載された記事「WordPress Plugins Leave Online Shoppers Vulnerable|Threatpost|The first stop for se...
Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた... 2015年9月25日 20時59分 Lenovo、今度はThinkPadにユーザーデータ収集ソフトを潜ませていた 今年2月、中国メーカーのLenovoが、販売しているノートパソコンへ密かに凶悪なアドウェアを混入していることが発覚しましたが、今回新たに、ユーザーデータを収集するソフトウェアを埋...

コメントを残す