- 2015年2月19日
- WordPress脆弱性情報
113万ダウンロード、WordPressの引っ越しプラグイン、Duplicatorに脆弱性
WordPressをサーバーからサーバーへ引っ越しさせるのは結構大変ですが、それをカンタンにするプラグインがあります。
The Duplicator gives WordPress administrators the ability to migrate, copy or clone a site from one location to another. The plugin also serves as a simple backup utility.
日本語解説記事によれば、データベースさえ用意しておけば、サイトを丸ごと複製し、新しい環境へ移行してくれるとのこと。さらに、簡易的なバックアップユーティリティもついています。
今回報告された脆弱性はバックアップユーティリティの問題です。
118503 | 2015-02-18 | Duplicator Plugin for WordPress duplicator.php Scan / Backup Actions Backup File Access | |||
Duplicator Plugin for WordPress contains a flaw in the duplicator.php script that is due to the program failing to properly check for administrator privileges when using the scan or backup actions. This may allow an authenticated remote attacker to gain access to backup files. |
攻撃者に、バックアップファイルへのアクセスを許してしまうとのこと。
ただし、ベンダーの脆弱性への対処は既に済んでおり、最新版をお使いいただくことで脆弱性を回避することが出来ます。