- 2015年4月12日
- WordPress脆弱性情報
10万ダウンロード超、「セキュリティ対策」プラグインのAll In One WP Security & Firewall に脆弱性
セキュリティプラグインを入れていれば安心、そう思っていませんか?
そんなことはありません。セキュリティプラグインは、その構造上完全ではなく、サーバやWordPressそのものの脆弱性は回避できません。
また、プラグインそのものに不具合があることもしばしばです。したがってセキュリティプラグインはあくまで補助的なものと考える方が良いでしょう。
有名セキュリティプラグインである、All In One WP Security & Firewall にSQLインジェクションの脆弱性が4件、発見されています。
120497 | 2015-04-06 | All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-404.php Multiple Parameter Blind SQL Injection |
120498 | 2015-04-06 | All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-login-fails.php Multiple Parameter Blind SQL Injection |
120499 | 2015-04-06 | All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-acct-activity.php Multiple Parameter Blind SQL Injection |
120500 | 2015-04-06 | All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-locked-ip.php Multiple Parameter Blind SQL Injection |
なお、脆弱性はすでに修正済みであり、最新版の3.9.4(2015年4月11日現在)を用いることで脆弱性を回避できます。