お客様のビジネスシステムを支える様々なソフトウェアをワンストップでご提供

SCTブログ blog

WordPressプラグインのXSS脆弱性を衝く攻撃キャンペーン

WebSecurity

WordPressセキュリティベンダーWordfenceのブログで、4つのWordPressプラグインの脆弱性が報告されています。
XSS脆弱性を利用した攻撃キャンペーンの解析を通じて判明したもので、どの脆弱性も攻撃用Javascriptを挿入し、不正なWordPress管理者の作成を可能にするものです。
Site Takeover Campaign Exploits Multiple Zero-Day Vulnerabilities

脆弱性が報告されているプラグインは4つです。

プラグインの設定の更新に際して、いくつかの値のセキュリティチェックを行わないことが原因で、管理者に対するXSS攻撃を通じて管理用ダッシュボードに任意のコードを挿入して実行させることが可能です。
4つのプラグインすべてに修正パッチが公開されています。利用している場合は、早急なアップデートが必要です。