WordPressのプラグイン「MailPoet」に深刻な脆弱性

[鈴木聖子，ITmedia]

　WordPressのメールマガジン配信用プラグイン「MailPoet」に深刻な脆弱性が見つかり、修正のための更新版が7月1日にリリースされた。

　MailPoet（wysija-newsletters）はWordPressを使っているWebサイトでメールマガジンの配信や管理ができるプラグイン。日本語にも対応している。ダウンロード件数は170万回を超えている。

　脆弱性を発見したSucuriによると、標的とするWebサイトにリモートから任意のファイルをアップロードできてしまう脆弱性が存在し、このプラグインを有効にしているWebサイト上で悪用される恐れがある。

　例えば攻撃者がPHPファイルをアップロードして、被害者のWebサイトをフィッシング詐欺に使ったり、迷惑メールを送信したり、マルウェアを拡散させたりすることが可能だという。

　脆弱性は更新版の「MailPoet 2.6.7」で修正された。Sucuriでは、直ちにアップデートするようユーザーに呼び掛けている。