[記事数:1,202] 日本を元気にするキーワード、地域活性化×中小企業× ITのTips and Quotes(秘訣と引用文)
creative  link  memo 

WordPress脆弱性プラグイン&テーマ



WordPress用プラグイン「All in One SEO Pack」における情報管理不備の脆弱性に関する情報を、JVN(Japan Vulnerability Notes)において公表した。

All in One SEO Packでは、初期設定で、本文の一部を含むMETAタグをページに追加する機能が有効となっており、WordPressの「パスワード保護」機能で閲覧を制限したページであっても、追加されたMETAタグから、パスワードを知らない第三者によって本文の一部を閲覧される可能性がある。

影響を受けるバージョンは、All in One SEO Pack Version 2.2.5.1およびそれ以前のもの。

同脆弱性の影響を回避するためには、All in One SEO Packの設定画面で「詳細を自動生成」(“Autogenerate Descriptions”)機能を無効にするか、または開発者が提供する情報をもとに、最新版へのアップデートを実施すればよいとのこと。

2015/03/26
脆弱性が含まれているのは「flashy version 1.3」および以前のバージョン。クロスサイトスクリプティングの脆弱性「CVE-2015-0901」により、ブラウザ上で任意のスクリプトを実行されるおそれがある。

コンテンツマネジメントシステム(CMS)の「WordPress」向け提供されているプラグイン「WordPress SEO by Yoast」において複数の脆弱性が修正された。

同製品は、WordPressにおいてサーチエンジンに対する最適化(SEO)機能を提供する人気プラグイン。今回明らかとなった脆弱性は、WPScanの開発メンバーが発見、報告したもので、実証コードも公開されている。

一部ページに、ブラインドSQLインジェクションの脆弱性「CVE-2015-2292」やクロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2015-2293」が存在。これらを組み合わせ、WordPressの管理画面へログインしたユーザーに、攻撃者が用意したサイトを訪問させたり、細工したリンクをクリックさせることで、ブラインドSQLインジェクション攻撃が実行されるおそれがある。

開発元では、脆弱性を修正した「同1.7.4」を用意。提供を開始している。

キヤノンITソリューションズは3月20日、セキュリティ情報を提供する「マルウェア情報局」で「Islamic State (ISIS)」と称する攻撃者により、複数のWebサイトが改ざんされる事案について報告した。

同社によると、「Islamic State (ISIS)」と称する攻撃者は国内外のWebサイトを対象に攻撃を行っており、改ざんされたWebサイトにアクセスすると「Islamic State (ISIS)」の画像や「Hacked by Islamic State (ISIS)」といったメッセージが表示されるという。

いくつかのサイトでは、WordPressのプラグイン「Fancybox for WordPress」の脆弱性を悪用し、改ざんが行われた可能性があるとのことだ。この脆弱性は以前から確認されており、ESETの「We live security」にて、2015年2月6日に報告されている。

この脆弱性を含んでいるのは、Fancybox for WordPress 3.0.2以前のバージョンだが、脆弱性はすでに修正されているという。同社は、Fancybox for WordPressプラグインを利用している場合、最新バージョンへアップデートするよう注意を呼びかけている。





FavoriteLoadingお気に入りAdd to favorites
WordPressのスマホ対応用プラグインにXSSの脆弱性... WordPressのスマホ対応用プラグインにXSSの脆弱性 スマートフォン向けの配信に利用されるWordPress向けプラグイン「WP Mobile Detector」に脆弱性が含まれていることがわかった。アップデートが公開されている。 同3.2以前のバージョンにクロスサイトスク...
WordPress向けフォームプラグイン「Ninja Forms」に脆弱性... WordPress向けフォームプラグインに脆弱性 WordPress向けに提供されているフォームプラグイン「Ninja Forms」に脆弱性が含まれていることがわかった。 「同2.9.18」にクロスサイトスクリプティングの脆弱性が含まれていたもので、以前のバージョンも影響を受ける。 ...
「WordPress 4.3」が公開 – セキュリティ強化や180のバグ修正を実施... 「WordPress 4.3」が公開 - セキュリティ強化や180のバグ修正を実施 コンテンツマネジメントシステム(CMS)「WordPress」の開発者グループは、新版となる「同4.3」を提供開始した。 同バージョンは、ジャズシンガーのBillie Holidayにちなみ、「Bil...
IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ... IPA、WordPressの脆弱性対策で最新版へのアップデートを呼びかけ 2017/02/06 19:21  独立行政法人情報処理推進機構(IPA)は2月6日、WordPressの脆弱性対策について発表した。 影響を受けるバージョンは、WordPress 4.7.0からWordPres...
WP向けカートプラグイン旧版にSQLインジェクションの脆弱性... WP向けカートプラグイン旧版にSQLインジェクションの脆弱性 コンテンツマネジメントシステム「WordPress」向けに提供されているショッピングサイト構築用プラグイン「Welcart」の旧版に脆弱性が含まれていることがわかった。「同1.5.3」以降で修正されているという。 脆弱性情報の...
ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増... ワードプレスの脆弱性問題で6万件以上の改ざん被害、日本でも攻撃量が急増 2017年02月10日 12時19分 Sucuri社のブログ 株式会社サイバーセキュリティクラウドは9日、同社によるサイバーセキュリティに関する意識喚起「サイバー攻撃速報」において、WordPressの脆弱性を狙うサイバ...
「WPTouch」など多数のWordPressプラグインに脆弱性... 「WPTouch」など多数のWordPressプラグインに脆弱性 WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。...
WordPress向けGoogle Analytics連携プラグイン「Google Analytic... WordPress向けGoogle Analytics連携プラグインにXSSの脆弱性 WordPressにおいてGoogle Analyticsとの連携機能を実現するプラグイン「Google Analytics by Yoast」にクロスサイトスクリプティングの脆弱性が含まれていること...
「WordPress 4.5.3」がリリース – 複数の脆弱性を解消... 「WordPress 4.5.3」がリリース - 複数の脆弱性を解消 コンテンツマネジメントシステム(CMS)である「WordPress」の開発者グループは、脆弱性や不具合を解消した最新版「WordPress 4.5.3」を公開した。更新を強く推奨している。 今回のアップデートは、セキュ...
WordPress向けeコマースサイト構築プラグイン「WP Marketplace」に脆弱性 ... WordPress向けeコマースサイト構築プラグインに脆弱性 - ゼロデイ攻撃も WordPressにおいてeコマースサイトを構築できるプラグイン「WP Marketplace」に、複数の脆弱性が含まれていることがわかった。10月18日の時点で修正プログラムは用意されておらず、すでに悪用も確認...

コメントを残す