[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPress脆弱性プラグイン&テーマ



WordPress用プラグイン「All in One SEO Pack」における情報管理不備の脆弱性に関する情報を、JVN(Japan Vulnerability Notes)において公表した。

All in One SEO Packでは、初期設定で、本文の一部を含むMETAタグをページに追加する機能が有効となっており、WordPressの「パスワード保護」機能で閲覧を制限したページであっても、追加されたMETAタグから、パスワードを知らない第三者によって本文の一部を閲覧される可能性がある。

影響を受けるバージョンは、All in One SEO Pack Version 2.2.5.1およびそれ以前のもの。

同脆弱性の影響を回避するためには、All in One SEO Packの設定画面で「詳細を自動生成」(“Autogenerate Descriptions”)機能を無効にするか、または開発者が提供する情報をもとに、最新版へのアップデートを実施すればよいとのこと。

2015/03/26
脆弱性が含まれているのは「flashy version 1.3」および以前のバージョン。クロスサイトスクリプティングの脆弱性「CVE-2015-0901」により、ブラウザ上で任意のスクリプトを実行されるおそれがある。

コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。

同製品は、WordPressにおいてサーチエンジンに対する最適化(SEO)機能を提供する人気プラグイン。今回明らかとなった脆弱性は、WPScanの開発メンバーが発見、報告したもので、実証コードも公開されている。

一部ページに、ブラインドSQLインジェクションの脆弱性「CVE-2015-2292」やクロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2015-2293」が存在。これらを組み合わせ、WordPressの管理画面へログインしたユーザーに、攻撃者が用意したサイトを訪問させたり、細工したリンクをクリックさせることで、ブラインドSQLインジェクション攻撃が実行されるおそれがある。

開発元では、脆弱性を修正した「同1.7.4」を用意。提供を開始している。

キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる事案について報告した。

同社によると、「Islamic State (ISIS)」と称する攻撃者は国内外のWebサイトを対象に攻撃を行っており、改ざんされたWebサイトにアクセスすると「Islamic State (ISIS)」の画像や「Hacked by Islamic State (ISIS)」といったメッセージが表示されるという。

いくつかのサイトでは、WordPressのプラグイン「Fancybox for WordPress」の脆弱性を悪用し、改ざんが行われた可能性があるとのことだ。この脆弱性は以前から確認されており、ESETの「We live security」にて、2015年2月6日に報告されている。

この脆弱性を含んでいるのは、Fancybox for WordPress 3.0.2以前のバージョンだが、脆弱性はすでに修正されているという。同社は、Fancybox for WordPressプラグインを利用している場合、最新バージョンへアップデートするよう注意を呼びかけている。





FavoriteLoadingお気に入りAdd to favorites
WordPressの脆弱性を悪用したキャンペーンが発生... WordPressの脆弱性を悪用したキャンペーンが発生 Zscalerは9月25日(米国時間)、「Zscaler Research: Compromised WordPress Campaign - Spyware Edition」において、WordPressの脆弱性を悪用してユーザにマルウェ...
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増... 偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増 Charlie Osborne (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2016年04月05日 16時32分  サイバーセキュリティ企業Avast Softwa...
「WordPress 4.7.3」公開 – セキュリティ以外でも39件を修正... 「WordPress 4.7.3」公開、XSSなど6件の脆弱性を修正 2017年3月7日 11:59  WordPressは6日、ブログツール「WordPress」のセキュリティアップデートとなるバージョン「4.7.3」を公開した。クロスサイトスクリプティング(XSS)の脆弱性3件や、クロス...
WordPress用リンク切れチェックプラグイン「Broken Link Checker」に脆弱性... WordPress用リンク切れチェックプラグインに脆弱性 コンテンツマネジメントシステム(CMS)であるWordPressの利用者向けに提供されているプラグインソフト「Broken Link Checker」にクロスサイトスクリプティング(XSS)の脆弱性が含まれていることが判明した。...
XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」... XSSやSQLiなど複数の脆弱性を修正した「WordPress 4.2.4」 複数の脆弱性を修正したコンテンツマネジメントシステム(CMS)の新版「WordPress 4.2.4」の提供が開始された。前回のアップデート「同4.2.3」から、わずか2週間弱での公開となる。 今回の更新は、S...
WordPressのプラグイン「WP Super Cache」に深刻な脆弱性... WordPressのプラグイン「WP Super Cache」に深刻な脆弱性 悪用されれば管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるという。 Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見...
「WordPress」に深刻な脆弱性 – セキュリティ更新が公開... 「WordPress」に深刻な脆弱性 - セキュリティ更新が公開 コンテンツマネージメントシステム(CMS)の「WordPress」に、深刻な脆弱性が含まれていることがわかった。脆弱性を解消するセキュリティアップデートが公開されており、早急に更新するよう強く推奨されている。 セキュリティ...
WordPress、人気eコマースサイトプラグインに脆弱性... WordPress、人気eコマースサイトプラグインに脆弱性 11月22日(米国時間)、Threatpostに掲載された記事「WordPress Plugins Leave Online Shoppers Vulnerable|Threatpost|The first stop for se...
「WordPress 4.2.3」公開、XSSの脆弱性を修正... 「WordPress 4.2.3」公開、XSSの脆弱性を修正 XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。  WordPressの脆弱性を修正した更新版の「WordPress 4.2.3」が7月23日付でリリースされた。...
WordPressプラグイン「CCTM」にバックドア見つかる... WordPressプラグイン「CCTM」にバックドア見つかる 世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも...

コメントを残す