WordPressのプラグイン「WP Super Cache」に深刻な脆弱性

悪用されれば管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるという。

[鈴木聖子，ITmedia]

　Webページの表示を高速化するためのWordPress用プラグイン「WP Super Cache」に深刻な脆弱性が発見され、修正のためのアップデートが公開された。

　WP Super Cacheはダウンロード数が100万を超えている人気プラグイン。最新バージョンの1.4.4で脆弱性が修正されている。

WP Super Cache最新版で脆弱性を修正

　セキュリティ企業Sucuriの4月7日のブログによると、修正前のバージョンには持続型クロスサイトスクリプティング（XSS）の脆弱性が存在していた。悪用された場合、攻撃者が細工を施したクエリを使って同プラグインのキャッシュされたファイルリスティングページに悪質なスクリプトを挿入することが可能だった。

　ただし、このページを表示するためには有効なnonceを必要とすることから、攻撃を成功させるためにはWebサイトの管理者に手作業でその特定の部分を参照させる必要があるという。

　問題のスクリプトが実行されれば新しい管理者アカウントを追加されたり、バックドアを挿入されたりする恐れがあるとして、Sucuriではできるだけ早くWP Super Cacheを最新バージョンに更新するよう呼び掛けている。