Contact Form 7、セキュリティの脆弱性を修正したアップデートリリース

2

Contact Form 7 5.0.4が昨日公開された。 このバージョンでは、セキュリティとメンテナンスリリースとして、可能な限りすぐに新しいバージョンに更新してください。

特権の昇格の脆弱性(Privilege escalation vulnerability)がContact Form 7 5.0.3以下のバージョンで発見されました。 この脆弱性を利用して、貢献(Contributor)会員ランクにログインしたユーザーが管理者(Administrator)と編集者(Editor)のみアクセスすることができるコンタクトフォームを編集することが可能になります。

これらの脆弱性を悪用する攻撃の可能性から被害を最小限に抑えるためContact Form 7 5.0.4以降では、ローカルファイルの添付機能を制限します。 より具体的に説明すると、ユーザーは、もはやwp-contentディレクトリの外に位置するファイルを指すように、絶対ファイルパスを指定することができなくなります。 しかし、継続して相対または絶対ファイルパスのwp-contentディレクトリの内部ディレクトリを指定することはできます。 したがって、添付ファイルの場所を変更するだけです。

WordPress 사이트を安全に運営するためには WordPress コアファイル、テーマやプラグインを最新バージョンにアップデートすることが重要です。

最近Ultimate Memberを悪用したリダイレクトマルウェアが奇声を張っます。 Ultimate Memberプラグインを適時更新していないいくつかのサイトがマルウェアに感染しており、感染したサイトが増え続けており、注意が必要です。

そしてDuplicatorプラグインにも深刻なリモートでコードが実行さ(RCE:remote code execution)の脆弱性が発見され、パッチのバージョンが出ました。 Duplicatorプラグインを使用している場合は、すぐに新しいバージョンに更新したり、削除してください。

Contact Form 7を最新のバージョンにすぐに更新するようにプラグインの開発者が強くお勧めしていますので、なるべく早く最新バージョンに更新することをお勧めします。

メモ:

2のコメント

  1. 昨日からのプラグインがいくつかの更新が浮遊んですよ。
    Contact Form 7は、セキュリティ脆弱性に関するものですね^^いつもありがとうございます。!

    • 最近Yoast SEOが大きく更新され、問題が発生して、更新を頻繁に言った。 Yoast SEOを使用している場合の更新が頻繁に行われるという感じを受けることができるようになります。

      Contact Form 7をはじめ、プラグインは、常に最新のバージョンに更新しても安全でしょう。

コメントを残す

コメントを入力してください!
名前を入力してください