WordPress Ninja Formsプラグインでは、SQLインジェクションの脆弱性を発見

  • Naver ブログを共有する
  • Naver バンドに共有する
  • Facebook 共有する
  • Twitter 共有する
  • 카카오스토리공유하기
Ninja-Forms WordPressのプラグインでは、SQLインジェクションの脆弱性を発見

Ninja Formsプラグインでは、SQLインジェクションの脆弱性(SQL Injection Vulnerability)発見

現在、60万以上のウェブサイトに設置されたワードプレス用 Ninja Formsプラグインに影響を与えるSQLインジェクションの脆弱性(SQL Injection Vulnerability)が発見されたします。

攻撃者が被害サイトでアカウントを持っている場合に、この脆弱性を利用することができ、加入者(subscriber)アカウントを持っても攻撃が可能だとします。 この問題は、ショートコードで提供されるパラメータをSQLクエリに接続する前にエスケープしていないために発生します。

悪意のある攻撃者は、このバグを利用して、 サイトのユーザー名とハッシュされたパスワードを流出することができます。 一部の構成では、ワードプレスの秘密鍵(secret key)も流出することができます。

現在Ninja Formsが2.9.55.2に緊急アップデートされました。 2.9.55.2以降では、この問題が発生しないので、プラグインを最新バージョンにアップデートしてください。

ワードプレスを安全に運営するためには1)常に最新のバージョンにアップデートして、2)定期的にバックアップすることが重要です。 そしてWordfence Security、iThemes Securityなどのセキュリティプラグインをインストールすると役立つことがあります。

私はBBQというファイアウォールのプラグインをインストールして使用しています。

ここでワードプレスのセキュリティに関するより多くの記事を確認することができます。

注:



コメントを残す