WordPressのユーティリティに脆弱性、ブログがハッキングされる恐れ

発見者は自身のブログがハッキングされ、掲載していないはずの広告コンテンツが読み込まれていたことから問題に気付いたという。

[鈴木聖子，ITmedia]

　オープンソースのブログ作成ソフト「WordPress」で広く使われている画像サイズ変更ユーティリティ「timthumb.php」に未解決の脆弱性があり、同ユーティリティを使ったブログがハッキングされているという。米IT企業Feedjitを経営するマーク・マウンダー氏がブログで明らかにした。

　マウンダー氏は自身のブログがハッキングされ、掲載していないはずの広告コンテンツが読み込まれているのに気付き、調べたところ、WordPressのテーマに使われているtimthumb.phpに問題があることを発見したという。この問題を悪用すると、timthumbキャッシュディレクトリ内に攻撃者が任意のPHPコードをアップロードして実行できてしまう恐れがあるとしている。

　timthumb.phpについてマウンダー氏は「Webサイトの閲覧者がアクセス可能なディレクトリ内にファイルを書き込める機能に依存していることから、本質的にセキュアではない」とも指摘。この問題への対処方法やセキュリティ対策についてブログで解説している。