WordPressプラグインの脆弱性が80,000サイトで見つかりました

セキュリティ研究者は、商用Webサイトで使用されている比較的人気のあるWordPressプラグインに脆弱性を発見しました。問題のプラグインはWooCommerceのVariationSwatchesと呼ばれ、WordPressとWooCommerceeコマースプラグインを実行している約80,000のWebサイトにあります。

この脆弱性は、WooCommerceプラグインのVariationSwatchesの保存されたクロススクリプト機能で発見されました。研究者によると、この問題により、脅威の攻撃者が悪意のあるスクリプトをページに挿入したり、Webサイト全体を乗っ取ったりする可能性があるため、問題の重大度は重大です。

バリエーションスウォッチプラグインの目的は、その名前が示すように、小売Webサイトを運営しているすべての人が同じベース製品の複数のバリエーションを表示できるようにすることです。たとえば、青、黒、茶色の革の靴は、3つの異なる見本に表示されます。ただし、この脆弱性を含むプラグインのバージョンでは、管理者権限を持たない人、ページの訪問者でさえ、プラグインの設定を改ざんすることができます。

Wordfenceの研究者によると、Swatchesプラグインのコードの3つの別個の関数は、「機能チェックとナンスチェック」なしで実装されました。これらの3つの機能の1つを使用すると、権限のないユーザーはプラグインの設定を微調整し、正規のWebサイト管理者がプラグインの設定を開いたときに実行される悪意のあるコードを挿入できます。

この脆弱性はCVE-2021-42367指定子の下で追跡され、最終的に11月23日にリリースされたアップデートでパッチが適用されました。

過去数か月間、WordPressプラットフォームに何らかの形で関連して、不快なバグの大群が文書化され、最終的には修正されました。特権のないユーザーがWebサイト全体をワイプすることを可能にする別のプラグインのバグや、別のWordPressプラグインに関連する偽のランサムウェアの恐怖など、それらの多くを取り上げました。

Zaib
December 2, 2021
Computer Security
日本語
December 2, 2021
Computer Security

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。