- 2015年2月9日
- WordPress脆弱性情報
180万ダウンロード、有名バックアッププラグイン UpdraftPlus Backup and Restoration に脆弱性
バックアッププラグインとしては有名な部類に入るUpdraftPlus Backup and Restorationに、脆弱性が報告されています。
117924 | 2015-02-03 | UpdraftPlus Backup and Restoration Plugin for WordPress admin.php admin_action_upgrade_pluginortheme() Function updraftplus-credentialtest-nonce Nonce Remote Disclosure | |||
UpdraftPlus Backup and Restoration Plugin for WordPress contains a flaw in the admin_action_upgrade_pluginortheme() function in the admin.php script that is triggered as the upgrade-plugin and upgrade-theme actions can be used to call admin_action_upgrade_pluginortheme(). This may allow aremote attacker to gain access to the updraftplus-credentialtest-nonce nonce. |
暗号通信に用いられるノンスが攻撃者に利用されてしまう脆弱性のようですが、現在のところ2月3日にリリースされた最新バージョンに脆弱性があり、脆弱性を修正したバージョンが存在しません。利用には十分ご注意ください。
なかなかの優れものプラグインのようで、非常に評価が高く、影響は大きそうです。なお、バックアップ先に以下のような様々なサービスを指定でき、汎用性も高いプラグインです。
Amazon S3 (or compatible)
Dropbox,
Rackspace Cloud Files,
Google Drive
Google Cloud Storage
DreamHost DreamObjects
FTP
OpenStack (Swift) and email
日本語解説記事によれば、 復旧の手続きまで網羅して初めてバックアップといえるとのこと。そのとおりです。
セキュリティ上、バックアップは非常に大切です。早く脆弱性を塞いでもらいたいのですが…。