10万ダウンロード超、「セキュリティ対策」プラグインのAll In One WP Security & Firewall に脆弱性

セキュリティプラグインを入れていれば安心、そう思っていませんか?

そんなことはありません。セキュリティプラグインは、その構造上完全ではなく、サーバやWordPressそのものの脆弱性は回避できません。

また、プラグインそのものに不具合があることもしばしばです。したがってセキュリティプラグインはあくまで補助的なものと考える方が良いでしょう。

 

有名セキュリティプラグインである、All In One WP Security & Firewall にSQLインジェクションの脆弱性が4件、発見されています。

日本語解説ページはこちら

 

120497 2015-04-06 All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-404.php Multiple Parameter Blind SQL Injection
120498 2015-04-06 All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-login-fails.php Multiple Parameter Blind SQL Injection
120499 2015-04-06 All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-acct-activity.php Multiple Parameter Blind SQL Injection
120500 2015-04-06 All In One WP Security & Firewall Plugin for WordPress admin/wp-security-list-locked-ip.php Multiple Parameter Blind SQL Injection

 

なお、脆弱性はすでに修正済みであり、最新版の3.9.4(2015年4月11日現在)を用いることで脆弱性を回避できます。

 

このエントリーをはてなブックマークに追加
LINEで送る
Pocket

こんな記事も読まれています

2019年1月9日

WordPress 用プラグイン Google XML Sitemaps におけるクロスサイトスクリプティングの脆弱性が明らかになりました

2018年12月20日

WordPress、バージョン5.0以下で複数の脆弱性。対策バージョン5.0.1リリース済み。

2018年12月12日

WordPressのプラグイン「AMP for WP」「WP GDPR Compliance」に脆弱性が発覚