- 2016年5月13日
- WordPress脆弱性情報
アクティブインストール50万以上のプラグイン「Ninja Forms」に脆弱性が見つかる。
WordPressのプラグイン「Ninja Forms」に脆弱性が報告されています。
脆弱性タイプ
XSS(クロスサイトスクリプティング)
Arbitrary File Uploading
PHP Object Injection(PHP オブジェクトインジェクション)
等々
発見バージョン
バージョン2.9.36から2.9.42まで
対応方法
対策版である2.9.43が既にリリースされております。
しかし、2016年5月13日現在、その他にも脆弱性が発見されており、その脆弱性を修正した最新版2.9.45がリリースされておりますので、そちらへアップデートされることをお勧めします。
このプラグインは、入力フォームを簡単にカスタマイズできるプラグインです。
5月13日現在、アクティブインストール50万以上、総ダウンロード数247万以上ととても人気のプラグインだ。
以前にも脆弱性情報があり、当ブログでも扱いました。
「アクティブインストール20万以上のプラグイン「Ninja Forms」に脆弱性」
「80万ダウンロード、Ninja formsプラグインに脆弱性」
「1000万以上のサイトに影響、4月下旬に一気に多数のプラグインに脆弱性が発見されていたWordPress。」
2015年8月よりアクティブインストールは30万、総ダウンロード数は倍の247万まで増えており、人気の高さが伺えます。
公式サイトによると35番目に人気のあるプラグインのようです。
リンク:https://wordpress.org/plugins/browse/popular/page/2/
今回複数の脆弱性が発生しておりますが、その中でも特にPHP オブジェクトインジェクションが最も重要で、こちらを悪用されますと任意のPHP コードを実行される可能性があります。
利用者は早めの最新版への更新をお勧めします。
【参考】