WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を

WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。

[後藤大地，有限会社オングス]

　CMS「WordPress」向けのプラグインの1つに、CleanTalkが提供するスパムコメントなどからWebサイトを保護するプロダクトがある。10万以上のWebサイトが採用すると推計される人気のプラグインだが、「Time-Based Blind」SQLインジェクションの脆弱（ぜいじゃく）性が発見された。共通脆弱性評価システムCVSSの深刻度は7.5で重要（High）とされる。

　この脆弱性情報はセキュリティ企業Defiantの脅威インテリジェンスチームが発見し、同社ブログで情報を開示している。この脆弱性を利用されると、Webサイトにログインすることなくユーザーの電子メールやパスワードのハッシュ値などのデータをデータベースから窃取される危険性があるとされる。

SQL Injection Vulnerability Patched in CleanTalk AntiSpam Plugin

影響を受けるバージョンは？