WP向け寄付管理プラグインに深刻な脆弱性のニュースについて

ニュース

さて今回はWordPressのプラグインに脆弱性が見つかったニュースについて取り上げます。

WordPressについては、広く使用されているCMS(Content Management System)ですね。

記事を見て、同じプラグインを使用している方がいたらすぐに対応を行ってください。

ニュースの詳細

コンテンツマネジメントシステム(CMS)の「WordPress」向けプラグイン「Total Donations」に深刻な脆弱性が含まれていることがわかった。ゼロデイ攻撃が確認されている。
同脆弱性は、Calmar Webmediaが提供する寄付管理プラグイン。「同2.0.5」および以前のバージョンに、サイトの管理者権限を奪われるおそれがある脆弱性「CVE-2019-6703」が明らかとなったもの。Defiantが報告したもので、脆弱性の影響は多岐にわたっている。
同社によると、同プラグインのAJAXによる88の動作において、49に脆弱性が存在。新規にユーザーを作成し、管理者権限を設定したり、第三者が本来アクセスできないデータへアクセス可能となるなど重大な脆弱性が含まれるという。
参考:http://www.security-next.com/102069

かなりやばいですね。サイトを乗っ取ることまでできそうですね・・・

このプラグインを使用したことがないので、わかりませんが寄付をするためのプラグインなんですかね?

しかも記事を読んでみると、開発者と連絡は取れずにメンテナンスもされていないとのことなので、もし使用されている方がいたら、すぐに使用を止めてプラグインごと削除してください。

WordPressの運用について

冒頭でも書いたとおり、このブログもWordPressで運用しています。

プラグインももちろん使用しています。これは前に記事にしましたね。

WordPressにお問い合わせフォームを実装する!Contact Form 7

ここにも記載されているとおり、プラグインもちゃんとメンテナンスが行われているものを使用することが大事です。

なので、毎日、毎週とは言いませんが、定期的にプラグインの状態を確認する必要があります。

また、WordPress自体にも年に一回程度大きな脆弱性が発見されますので、理想としてはバージョンアップ通知が来たらすぐにアップデートすることが好ましいです。

もちろん企業で運用している場合、止まってしまう等の懸念事項があると思いますが、これも企業で運用しているサイトであれば定期的にバックアップしていると思いますので、アップデートを行わなかった際の被害と比較して対応を早めに検討する必要があります。

昔とある案件で組織が前に作ったサイト(WordPress)が放置されていて、その運用が何故かこっちに回ってきて困っているんですよ~と報告会で相談を受けたことがあります。

ハッカーはそういったサイトを虎視眈々と狙っていたりしますので、放置サイトは気を付けてくださいね。

ハニーポットがメンテナンスされず放置されて、ボット化されてしまったという話もちょこちょこ耳に入ります。

ちゃんと定期的に自分の管理しているサーバをチェックするようにしてくださいね。

もちろんそれ以外で忙しいのも十分に理解していますがもしも乗っ取られたりした際は信用問題等にも発展する可能性もありますので・・・

最後に

WordPressのプラグインの脆弱性について記事にしました。

こういった記事を見ると、脆弱性を見つけてIPA等に届出するという趣味をちょっと前までやっていたんですが、また再開したくなりますね。

ちょっと自慢ですが、実際にCVE番号も降振られている脆弱性もあるんですよ。(詳細は記事にしませんが・・・)

皆様ももし使用しているCMSやプラグイン、少し前からだとルータやIoT等の機器でも脆弱性を発見したら、IPAに届け出てくださいね。(報告するの少し面倒なんですが・・・)

私自身は届け出をしたこともあるので、やり方がわからなかったら相談にも乗りますので、気軽に連絡をしてください。

以下IPAの届出受付のリンクですので、参考にどうぞ。

IPA:脆弱性関連情報の届出受付

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

コメント