WordPress、スマートフォン最適化プラグインの深刻な脆弱性を修正

「WPtouch」には、管理者権限を持たないユーザーがPHPファイルをサーバにアップロードできてしまう非常に危険な脆弱性が存在していた。

» 2014年07月18日 07時39分 公開
[鈴木聖子,ITmedia]

 WordPressのスマートフォン最適化のためのプラグイン「WPtouch」に深刻な脆弱性が見つかり、修正のための更新版がリリースされた。

WPtouch

 WPtouchは、WordPressサイトをスマートフォン向けに最適化するための定番プラグインで、利用者は非常に多く、ダウンロード数は500万を超えている。

 セキュリティ企業Sucuriの7月14日のブログによれば、同プラグインには、管理者権限を持たないユーザーがPHPファイルをサーバにアップロードできてしまう非常に危険な脆弱性が存在していた。

 影響を受けるのはWPtouchのバージョン3.xを使っていて、ゲストユーザーの登録を受け付けているWebサイト。例えば登録ユーザーやブログ筆者などがログインして、バックドアやマルウェアをWebサイトのディレクトリに仕込む手口で、そのWebサイトが乗っ取られる恐れがあるという。

 この問題はWPtouch最新版のバージョン3.4.3で7月12日に修正された。同プラグインを使っている場合はできるだけ早くアップデートを適用するようSucuriは促している。なお、WPtouchのバージョン2.xおよび1.xはこの問題の影響を受けないという。

 WordPressのプラグインでは7月上旬にメールマガジン配信用の「MailPoet」にも脆弱性が見つかるなど、プラグインの問題が相次いで指摘されている。

関連キーワード

プラグイン | 脆弱性 | WordPress


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ