ニュース
WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を
WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。
CMS「WordPress」向けのプラグインの1つに、CleanTalkが提供するスパムコメントなどからWebサイトを保護するプロダクトがある。10万以上のWebサイトが採用すると推計される人気のプラグインだが、「Time-Based Blind」SQLインジェクションの脆弱(ぜいじゃく)性が発見された。共通脆弱性評価システムCVSSの深刻度は7.5で重要(High)とされる。
この脆弱性情報はセキュリティ企業Defiantの脅威インテリジェンスチームが発見し、同社ブログで情報を開示している。この脆弱性を利用されると、Webサイトにログインすることなくユーザーの電子メールやパスワードのハッシュ値などのデータをデータベースから窃取される危険性があるとされる。
影響を受けるバージョンは?
関連記事
- WordPressのテーマに緊急脆弱性、既に攻撃の痕跡も
WordPressで人気の高いテーマの脆弱性がサイバー攻撃に使われていることが発見された。この脆弱性はセキュリティパッチが提供されていないテーマのものだ。このテーマを利用したWebサイトはインターネット上に10万ほど存在すると推測される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.