WordPressプラグインの脆弱性を突く攻撃横行、更新版で対処

Webサイトのポルノスパム感染被害が5月末ごろから急増している。WordPressのモバイル対応プラグイン「WP Mobile Detector」の未解決の脆弱性が悪用されていたことが分かった。

[鈴木聖子，ITmedia]

脆弱性を報告したSucuri

　Webサイトのモバイル対応に使われるWordPress向けプラグイン「WP Mobile Detector」の脆弱性を突く攻撃が横行していたことが分かり、この問題を修正する更新版が6月2日に公開された。

　セキュリティ企業Sucuriの2日付ブログによると、Webサイトのポルノスパムの感染被害が5月末ごろから急増し、原因を調べたところ、被害に遭ったWebサイトはいずれもWP Mobile Detectorを使っていたことが判明した。同プラグインに任意のファイルをアップロードできてしまう脆弱性があることが分かった。

　脆弱性は、信頼できないソースからの入力内容を検証できていなかったことに起因する。「allow_url_fopen」のオプションが有効になっている場合に影響を受け、悪用されればWebサイトを制御される恐れがあった。

　Sucuriによれば、この脆弱性は極めて簡単に悪用でき、脆弱性情報が5月31日に公開される前の5月27日ごろから攻撃が発生していた形跡があるという。

　問題の発覚を受け、WP Mobile Detectorは5月31日にいったんWordPressのプラグインディレクトリから削除され、脆弱性を修正する更新版のバージョン3.7が6月2日に公開された。

更新されたWP Mobile Detector