ニュース
WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処
Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。
Webサイトのモバイル対応に使われるWordPress向けプラグイン「WP Mobile Detector」の脆弱性を突く攻撃が横行していたことが分かり、この問題を修正する更新版が6月2日に公開された。
セキュリティ企業Sucuriの2日付ブログによると、Webサイトのポルノスパムの感染被害が5月末ごろから急増し、原因を調べたところ、被害に遭ったWebサイトはいずれもWP Mobile Detectorを使っていたことが判明した。同プラグインに任意のファイルをアップロードできてしまう脆弱性があることが分かった。
脆弱性は、信頼できないソースからの入力内容を検証できていなかったことに起因する。「allow_url_fopen」のオプションが有効になっている場合に影響を受け、悪用されればWebサイトを制御される恐れがあった。
Sucuriによれば、この脆弱性は極めて簡単に悪用でき、脆弱性情報が5月31日に公開される前の5月27日ごろから攻撃が発生していた形跡があるという。
問題の発覚を受け、WP Mobile Detectorは5月31日にいったんWordPressのプラグインディレクトリから削除され、脆弱性を修正する更新版のバージョン3.7が6月2日に公開された。
関連記事
- WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。 - WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。 - WordPress.com、独自ドメインも全てHTTPS接続に
WordPress.com上でホスティングされている全ての独自ドメインで通信が暗号化されるHTTPS接続を無償提供する。 - WordPressやJoomlaサイトの改ざん相次ぐ、ランサムウェアへ誘導
改ざんされたWordPressサイトやJoomlaサイトをユーザーが閲覧すると、悪質なWebサイトへリダイレクトされ、ランサムウェアの「TeslaCrypt」に感染する恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.