ニュース

WordPressの求人情報プラグイン「WP Job Manager」のアクセス制限不備、国内サイトの改ざん事例多発

未ログインで画像アップロード可能、アップデートを推奨

 Automatticが提供するWordPress用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について、独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意を喚起しており、最新版へのアップデートが推奨されている。

 WP Job Managerは、求人情報用のWordPressプラグイン。JVN(Japan Vulnerability Notes)の脆弱性情報によれば、ウェブサイトに未ログインの第三者により、リモートから画像ファイルをアップロードされ、ウェブサイトが改ざんされる可能性がある。影響を受けるのはバージョン「1.26.1」以前。

 共通脆弱性評価システム「CVSS v3」のスコアは5.3だが、JPCERT/CCによると、これを悪用したウェブサイト改ざんの報告は6月初めころからあり、20日現在では約70サイトに達しているとのこと。なお、これを悪用する攻撃コードが6月5日ごろに公開されているという。