Wordpressのコメント拡張プラグイン「wpDiscuz」に重大な脆弱性が発見され、攻撃者が悪意のあるリモートコード実行が出来る可能性が指摘されています。当該プラグインを利用している方は、速やかなパッチ当てが必要です。
hotforsecurity.bitdefender.com
Wordfenceの研究者たちは6月にwpDiscuzの開発者に、セキュリティ上の予防策の欠如により、認証されていないユーザーがあらゆる種類のファイル(PHPファイルを含む)をコメントにアップロードできる欠陥を発見したと語りました。
問題は、wpDiscuzのバージョン7で発見されました。これは、ユーザーがコメントとともに画像をアップロードできる機能を追加しました。しかし、Wordfenceは、アップロードされたファイルが本当に画像であるかどうかを正しく識別できず、潜在的に悪意のあるコードのアップロードが可能であることを発見しました。
Wordfenceによると、攻撃が成功すると、攻撃者はサーバー上のすべてのWebサイトを制御できるようになる可能性があります。
(HOT FOR SECURITY記事より引用)※機械翻訳
キタきつねの所感
Wordpress利用ユーザーは要注意かも知れません。人気のコメント拡張プラグインで、日本語化も可能な「wpDiscuz」プラグインに重大な脆弱性が発見され、開発元から7/23に修正パッチ(7.0.5)が出ている様です。
※7/20の修正パッチはこの脆弱性に完全には対応して無いようです。
ja.wordpress.org
続きを読む