WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を

WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。

» 2021年05月10日 18時38分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 CMS「WordPress」向けのプラグインの1つに、CleanTalkが提供するスパムコメントなどからWebサイトを保護するプロダクトがある。10万以上のWebサイトが採用すると推計される人気のプラグインだが、「Time-Based Blind」SQLインジェクションの脆弱(ぜいじゃく)性が発見された。共通脆弱性評価システムCVSSの深刻度は7.5で重要(High)とされる。

 この脆弱性情報はセキュリティ企業Defiantの脅威インテリジェンスチームが発見し、同社ブログで情報を開示している。この脆弱性を利用されると、Webサイトにログインすることなくユーザーの電子メールやパスワードのハッシュ値などのデータをデータベースから窃取される危険性があるとされる。

SQL Injection Vulnerability Patched in CleanTalk AntiSpam Plugin SQL Injection Vulnerability Patched in CleanTalk AntiSpam Plugin

影響を受けるバージョンは?

Copyright © ITmedia, Inc. All Rights Reserved.