「WPtouch」には、管理者権限を持たないユーザーがPHPファイルをサーバにアップロードできてしまう非常に危険な脆弱性が存在していた。
WordPressのスマートフォン最適化のためのプラグイン「WPtouch」に深刻な脆弱性が見つかり、修正のための更新版がリリースされた。
WPtouchは、WordPressサイトをスマートフォン向けに最適化するための定番プラグインで、利用者は非常に多く、ダウンロード数は500万を超えている。
セキュリティ企業Sucuriの7月14日のブログによれば、同プラグインには、管理者権限を持たないユーザーがPHPファイルをサーバにアップロードできてしまう非常に危険な脆弱性が存在していた。
影響を受けるのはWPtouchのバージョン3.xを使っていて、ゲストユーザーの登録を受け付けているWebサイト。例えば登録ユーザーやブログ筆者などがログインして、バックドアやマルウェアをWebサイトのディレクトリに仕込む手口で、そのWebサイトが乗っ取られる恐れがあるという。
この問題はWPtouch最新版のバージョン3.4.3で7月12日に修正された。同プラグインを使っている場合はできるだけ早くアップデートを適用するようSucuriは促している。なお、WPtouchのバージョン2.xおよび1.xはこの問題の影響を受けないという。
WordPressのプラグインでは7月上旬にメールマガジン配信用の「MailPoet」にも脆弱性が見つかるなど、プラグインの問題が相次いで指摘されている。
Copyright © ITmedia, Inc. All Rights Reserved.