ニュース
» 2016年06月06日 07時00分 UPDATE

WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処

Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。

[鈴木聖子,ITmedia]
脆弱性を報告したSucuri

 Webサイトのモバイル対応に使われるWordPress向けプラグイン「WP Mobile Detector」の脆弱性を突く攻撃が横行していたことが分かり、この問題を修正する更新版が6月2日に公開された。

 セキュリティ企業Sucuriの2日付ブログによると、Webサイトのポルノスパムの感染被害が5月末ごろから急増し、原因を調べたところ、被害に遭ったWebサイトはいずれもWP Mobile Detectorを使っていたことが判明した。同プラグインに任意のファイルをアップロードできてしまう脆弱性があることが分かった。

 脆弱性は、信頼できないソースからの入力内容を検証できていなかったことに起因する。「allow_url_fopen」のオプションが有効になっている場合に影響を受け、悪用されればWebサイトを制御される恐れがあった。

 Sucuriによれば、この脆弱性は極めて簡単に悪用でき、脆弱性情報が5月31日に公開される前の5月27日ごろから攻撃が発生していた形跡があるという。

 問題の発覚を受け、WP Mobile Detectorは5月31日にいったんWordPressのプラグインディレクトリから削除され、脆弱性を修正する更新版のバージョン3.7が6月2日に公開された。

更新されたWP Mobile Detector

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -