Copyright ©2024 Sanwa Comtec KK. All rights reserved.
WordPressプラグインのXSS脆弱性を衝く攻撃キャンペーン
2020.03.05 三和コムテック
2020.03.05 三和コムテック
WordPressセキュリティベンダーWordfenceのブログで、4つのWordPressプラグインの脆弱性が報告されています。
XSS脆弱性を利用した攻撃キャンペーンの解析を通じて判明したもので、どの脆弱性も攻撃用Javascriptを挿入し、不正なWordPress管理者の作成を可能にするものです。
Site Takeover Campaign Exploits Multiple Zero-Day Vulnerabilities
脆弱性が報告されているプラグインは4つです。
プラグインの設定の更新に際して、いくつかの値のセキュリティチェックを行わないことが原因で、管理者に対するXSS攻撃を通じて管理用ダッシュボードに任意のコードを挿入して実行させることが可能です。
4つのプラグインすべてに修正パッチが公開されています。利用している場合は、早急なアップデートが必要です。
この記事が気に入ったら
いいねしよう!