オープンソースのCMSとして有名な「Joomla」のセキュリティエクステンション「SecurityCheck」に脆弱性が発見されたと外部機関が公表しました。

脆弱性タイプ

SQL Injection（SQLインジェクション）

クロスサイトスクリプティング（XSS）

想定被害

この脆弱性を悪用するとユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

また情報漏えい、サイト改ざんの可能性もあります。

発見されたシステム・バージョン

「SecurityCheck」、「SecurityCheck Pro」のバージョン2.8.9以下

対応方法

対策版であるバージョン2.8.10にアップデートする

（2016年6月3日時点の最新版です）

「Joomla」は以前のブログ（「「Joomla」の3.2から3.4.4までのバージョンに複数の脆弱性を発見」）でも紹介したことがある通り、コンテンツマネージメントシステム（CMS）市場においてWordPressに次ぐ2番目のシェアを誇ります。

そのエクステンションである「SecurityCheck」は読んで字のごとくセキュリティ対策用です。

ちなみに、「SecurityCheck Pro」は有料版です。

特徴としては、利用している他のエクステンションの脆弱性チェックが出来たり、攻撃者のIPをブロックしたりすることが出来るようです。

今回は、脆弱性チェックするはずのエクステンション自身に脆弱性が存在していました～ってことになりますね。

（自分自身もチェック出来たら最強だが、それはまあ無理ですよね。。。）

今回の脆弱性はとても緊急度の高いものになっております。

ご利用の方は、バージョンの確認並びに、早急な脆弱性解消した最新版へ更新することをお勧めします。