人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意

WordPressのプラグイン「WP Statistics」で、認証されていないユーザーアカウントデータなどの機密情報を窃取できる脆弱性が存在することが明らかになった。該当するプラグインを使っている場合には迅速にアップデートを適用してほしい。

[後藤大地，有限会社オングス]

　セキュリティ企業Defiantは2021年5月18日（現地時間）、Wordfence脅威インテリジェンスチームがWordPressのプラグイン「WP Statistics」にSQLインジェクションの脆弱（ぜいじゃく）性を発見したと伝えた。この脆弱性を利用されると、認証されていないユーザー機密情報を窃取できる危険性があるとされる。WP Statisticsは訪問者がWebサイトのどのページをどの程度訪れたかという統計情報を収集してレポートするプラグインだ。60万以上のWordPressサイトにインストールされていると推測されており、多くのサイトが影響を受ける可能性がある。

000 Sites Impacted by WP Statistics Patch,Over 600,000 Sites Impacted by WP Statistics Patch（DefiantのWebページより）

誰でも攻撃ができる状態、修正版は公開済み