- 2014年11月27日
- WordPress脆弱性情報
54万ダウンロード Google Doc Embedder プラグインに脆弱性
様々なファイルをページに埋め込むことができるプラグイン、Google Doc Embedderに脆弱性が報告されています。
具体的には、以下のファイルを埋め込むことができます。
- Adobe Acrobat (PDF)
- Microsoft Word (DOC/DOCX*)
- Microsoft PowerPoint (PPT/PPTX*)
- Microsoft Excel (XLS/XLSX*)
- TIFF Images (TIF, TIFF)
- Apple Pages (PAGES)
- Adobe Illustrator (AI)
- Adobe Photoshop (PSD)
- Autodesk AutoCad (DXF)
- Scalable Vector Graphics (SVG)
- PostScript (EPS/PS)
- OpenType/TrueType Fonts (OTF, TTF)
- XML Paper Specification (XPS)
- Archive Files (ZIP/RAR)
今回発見された脆弱性はSQLインジェクションに関するものです。
115044 | 2014-11-25 | Google Doc Embedder Plugin for WordPress /google-document-embedder/view.php gpid Parameter SQL Injection | |||
Google Doc Embedder Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the /google-document-embedder/view.php script not properly sanitizing user-supplied input to the ‘gpid’ GET parameter. This may allow a remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data. |
脆弱性の発表とともに脆弱性が修正された最新版が出ているため、最新版へのアップデートが推奨です。