180万ダウンロード、有名バックアッププラグイン UpdraftPlus Backup and Restoration に脆弱性

バックアッププラグインとしては有名な部類に入るUpdraftPlus Backup and Restorationに、脆弱性が報告されています。

117924 2015-02-03 UpdraftPlus Backup and Restoration Plugin for WordPress admin.php admin_action_upgrade_pluginortheme() Function updraftplus-credentialtest-nonce Nonce Remote Disclosure

UpdraftPlus Backup and Restoration Plugin for WordPress contains a flaw in the admin_action_upgrade_pluginortheme() function in the admin.php script that is triggered as the upgrade-plugin and upgrade-theme actions can be used to call admin_action_upgrade_pluginortheme(). This may allow aremote attacker to gain access to the updraftplus-credentialtest-nonce nonce.

暗号通信に用いられるノンスが攻撃者に利用されてしまう脆弱性のようですが、現在のところ2月3日にリリースされた最新バージョンに脆弱性があり、脆弱性を修正したバージョンが存在しません。利用には十分ご注意ください。

 

なかなかの優れものプラグインのようで、非常に評価が高く、影響は大きそうです。なお、バックアップ先に以下のような様々なサービスを指定でき、汎用性も高いプラグインです。

Amazon S3 (or compatible)

Dropbox,

Rackspace Cloud Files,

Google Drive

Google Cloud Storage

DreamHost DreamObjects

FTP

OpenStack (Swift) and email

日本語解説記事によれば、 復旧の手続きまで網羅して初めてバックアップといえるとのこと。そのとおりです。

 

セキュリティ上、バックアップは非常に大切です。早く脆弱性を塞いでもらいたいのですが…。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています