アクティブインストール50万以上のプラグイン「Ninja Forms」に脆弱性が見つかる。

WordPressのプラグイン「Ninja Forms」に脆弱性が報告されています。

 

脆弱性タイプ

XSS(クロスサイトスクリプティング)

Arbitrary File Uploading

PHP Object Injection(PHP オブジェクトインジェクション)

等々

 

発見バージョン

バージョン2.9.36から2.9.42まで

 

対応方法

対策版である2.9.43が既にリリースされております。

しかし、2016年5月13日現在、その他にも脆弱性が発見されており、その脆弱性を修正した最新版2.9.45がリリースされておりますので、そちらへアップデートされることをお勧めします。

 

 

 

 

このプラグインは、入力フォームを簡単にカスタマイズできるプラグインです。

5月13日現在、アクティブインストール50万以上、総ダウンロード数247万以上ととても人気のプラグインだ。

 

以前にも脆弱性情報があり、当ブログでも扱いました。

アクティブインストール20万以上のプラグイン「Ninja Forms」に脆弱性

80万ダウンロード、Ninja formsプラグインに脆弱性

1000万以上のサイトに影響、4月下旬に一気に多数のプラグインに脆弱性が発見されていたWordPress。

 

2015年8月よりアクティブインストールは30万、総ダウンロード数は倍の247万まで増えており、人気の高さが伺えます。

 

公式サイトによると35番目に人気のあるプラグインのようです。

リンク:https://wordpress.org/plugins/browse/popular/page/2/

 

今回複数の脆弱性が発生しておりますが、その中でも特にPHP オブジェクトインジェクションが最も重要で、こちらを悪用されますと任意のPHP コードを実行される可能性があります。

 

利用者は早めの最新版への更新をお勧めします。

 

【参考】

Ninja Forms- WordPress

Ninja Forms

LINEで送る
Pocket

こんな記事も読まれています