２０万ダウンロード、Paid Memberships Pro プラグインに脆弱性

２０万ダウンロードを誇る、会員管理プラグイン、Paid Memberships Proに脆弱性が報告されています。

日本語の解説などもあります。

解説ビデオは以下。

どうやら今回発見された脆弱性はパス・トラバーサルに関連するもののようです。

114820	2014-11-19	Paid Memberships Pro Plugin for WordPress /admin-ajax.php action Parameter Remote Path Traversal File Access
Paid Memberships Pro Plugin for WordPress contains a flaw that allows traversing outside of a restricted path. The issue is due to the /admin-ajax.php script not properly sanitizing user input, specifically path traversal style attacks (e.g. ‘../’) supplied via the ‘action’ parameter. With a specially crafted request, a remote attacker can gain access to arbitrary files.

最新版では、既にこの脆弱性は修正済みとのこと。アップデートが推奨です。

レオンテクノロジーは現在、一緒に働く仲間を募集しております！
興味がある方はこちらから！

セキュリティに関するご相談はこちらから！