60万以上のサイトで導入済のWordPress用フォームプラグインに脆弱性 – Security NEXT



コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「Ninja Forms」に、SQLインジェクションの脆弱性が判明した。

同プラグインは、フォーム機能を追加できるソフトウェア。60万以上のサイトに導入されている。脆弱性を確認したSucuriによれば、サイトの登録者など、アカウントの保有者によって、SQLコマンドが実行可能となる脆弱性が存在するという。

アカウント保有者であれば、権限に関係なく脆弱性を悪用することが可能。ユーザー名やハッシュ化されたパスワードにくわえ、特定条件下でハッシュ値のソルト化に用いられるWordPressのシークレットキーを、取得されるおそれがあるとしている。

Sucuriでは、開発者へ脆弱性を報告。開発者は、8月11日にリリースした「同2.9.55.2」で脆弱性を修正。さらに同月16日には、ほかの問題にも対処した「同2.9.56」をリリースしている。Sucuriでは影響を受けるバージョンの利用者へできるだけ速く最新版へアップデートを行うよう注意を呼びかけている。

(Security NEXT – 2016/08/17 )

このエントリーをはてなブックマークに追加

PR


関連記事

「Trend Micro Control Manager 6.0」に複数の脆弱性 – パッチ2件で対応
4月11日に「Adobe Acrobat/Reader」アップデートが公開予定 – 脆弱性悪用は未確認
ECシステム「CS-Cart」に脆弱性 – 情報漏洩や意図せぬ商品購入のおそれ
Apple、セキュリティアップデート「iOS 10.3.1」を公開
GIGABYTE BRIXのUEFIファームウェア保護に脆弱性 – 一部はEOLで修正なし
アライドテレシス製ルータに脆弱性 – 「guest」アカウントで管理者操作が可能
EOLの「IIS 6.0」にあらたな脆弱性 – 2016年半ばより攻撃が発生中
「ESXi」など複数VMware製品に深刻な脆弱性 – アップデートがリリース
Apple、macOS向けに脆弱性に対処したアップデート – 重複除く125件を解消
Apple、「iOS 10.3」をリリース – 84件の脆弱性を修正



こんな記事も読まれています



コメントを残す