WordPressプラグインのバグによりリモートでコードが実行される
WordPressを実行し、フロントエンドファイルマネージャープラグインを使用しているWebサイトは、ハッカー攻撃のリスクがあります。問題のプラグインは、WPプラットフォームの使用中にファイルをアップロードおよび管理することに重点を置いており、ハッカーが悪意のあるJavaScriptをページに挿入して、独自の管理者レベルのアカウントを作成できるようにする重大なクロスサイトスクリプティングのバグがあります。
重大なバグは、フロントエンドファイルマネージャープラグインのバージョン17.1および18.2にあり、これら2つのバージョンの6つの脅威の高いバグの1つです。この問題に関するThreatpostのレポートによると、この問題は、同じ2つのバージョンのWPプラグインを実行しているWebサイトが2,000を超えていることです。
プラグインの重大な脆弱性は6月12日に公表され、パッチはすでに利用可能になっています。
WPとプラグインを実行しているサイトのページにJavaScriptコードを挿入する機能を提供することに加えて、バグにより、ハッカーはページと投稿を編集または単に削除し、アカウント権限をエスカレートし、クロスサイトスクリプティング攻撃を実行することもできました。 XSS攻撃として。これらの調査結果は、Ninja TechnologiesNetworkと協力しているセキュリティ研究者によって作成されました。
Ninja Technologiesからのレポートは、プラグインで使用されているすべての障害のある機能の詳細な内訳を示し、悪意のある攻撃者が悪意のあるコードをページに挿入したり、アカウント権限を昇格させたり、管理者アクセスと権限を効果的に取得したりする方法を正確に説明しています。
このバグにより、ハッカーはフロントエンドファイルマネージャープラグイン内でアップロードできるファイルのリストにPHPを追加することもできます。これにより、リモートでコードが実行される可能性のある悪意のあるスクリプトをアップロードできるようになります。
WP Webサイトでフロントエンドファイルマネージャープラグインを使用している場合は、問題を回避して構成を保護するために、プラグインの18.3バージョンにすぐに更新する必要があります。
WordPressプラグインは、サイト所有者に深刻な問題を引き起こす可能性のある脆弱性や問題があることで有名です。フロントエンドファイルマネージャープラグインは最初ではありません。他のプラグインの追跡履歴があれば、重大なバグが発生するのはおそらく最後ではありません。カスタムWordPressプラグインを実行しているウェブサイトの所有者は、可能な限り安全を保つために、それらのプラグインの更新を常に監視する必要があります。