Ultimate Form Builder Liteでゼロデイ脆弱性を発見

Last Updated: 2020 年 11 月 14 日 댓글

Ultimate Form Builder Liteでゼロデイ脆弱性が発見され修正されました。

先月にセキュリティ会社であるWordfenceによって Appointments、Flickr Galleryなど3の WordPress プラグインのObject Injection脆弱性があることが発見されました。

最近同じような脆弱性をハッカーが積極的に利用することが Contact Form for WordPress - Ultimate Form Builder Liteという WordPress フォームビルダープラグインで発見された。

詳細については、次のWordfence文を参照してみてください。

Ultimate Form Builder Liteは、ドラッグ&ドロップ方式のフォームビルダーで様々なコンタクトフォームを作ることができる無料の WordPress プラグインで50,000以上のサイトでインストールされて有効になっています。

10月23日、プラグイン開発者が脆弱性を修正したアップデート(バージョン1.3.7)を出しました。 このプラグインを使用している場合は、すぐに最新バージョンに更新してください。

お問い合わせフォームを作成するプラグインとしては、Contact Form 7がよく使用されます。 ただし、Contact Form 7は基本的な機能のみを提供するため、機能を拡張するには追加のプラグイン(「アドオンプラグイン」)をインストールする必要がある面倒です。

すっきりとした有料コンタクトフォームのプラグインが必要な場合 Quform 同じプラグインを考慮してみることができます。 安定した人気を得ているQuformは最近のバージョン2.0にアップグレードされインタフェースが改善されてステップフォームのサポートなど、さまざまな機能が追加されました。

*ちなみにWordfenceはプレミアムバージョンを購入する顧客には、特定の脆弱性が発見されると、すぐに通知、当該脆弱性が解決されるか、あるいは脆弱性を修正していなくて、プラグインやテーマが WordPress ストアから削除された場合に、その事実を公開しているようです。 一般的なユーザーは、問題となるプラグインがあっても知ることができず、さらにプラグインが、セキュリティの問題のため WordPress プラグインリポジトリから削除されても(誰が教えなければ)適切なのかすることは容易です。


コメントを残す

コメント