- 2014年7月22日
- WordPress脆弱性情報
WP Ultimate CSV Importer プラグインに脆弱性
10万回以上のダウンロード回数を誇る、有名プラグインのWP Ultimate CSV Importerに、脆弱性が報告されています。
このプラグインは、任意の投稿に対して、エクセルなどで作成したファイルをフィールドを指定してアップロードできるというもの。
便利ですね。
脆弱性は、wpcontenturlに送られたパラメータを適切にサニタイズしていないというもの。攻撃者は任意のコードを実行できてしまいます。
対策法はすでに供給元がアップデートを発表しており、バージョンを3.6.1以上にするというもの。
簡単なので、直ぐにアップデートをおすすめします。