113万ダウンロード、WordPressの引っ越しプラグイン、Duplicatorに脆弱性

WordPressをサーバーからサーバーへ引っ越しさせるのは結構大変ですが、それをカンタンにするプラグインがあります。

Dupulicator

The Duplicator gives WordPress administrators the ability to migrate, copy or clone a site from one location to another. The plugin also serves as a simple backup utility.

日本語解説記事によれば、データベースさえ用意しておけば、サイトを丸ごと複製し、新しい環境へ移行してくれるとのこと。さらに、簡易的なバックアップユーティリティもついています。

 

今回報告された脆弱性はバックアップユーティリティの問題です。

118503 2015-02-18 Duplicator Plugin for WordPress duplicator.php Scan / Backup Actions Backup File Access

Duplicator Plugin for WordPress contains a flaw in the duplicator.php script that is due to the program failing to properly check for administrator privileges when using the scan or backup actions. This may allow an authenticated remote attacker to gain access to backup files.

攻撃者に、バックアップファイルへのアクセスを許してしまうとのこと。

 

ただし、ベンダーの脆弱性への対処は既に済んでおり、最新版をお使いいただくことで脆弱性を回避することが出来ます。

 

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています