アクティブインストール50万以上のプラグイン「Ninja Forms」に脆弱性が見つかる。

WordPressのプラグイン「Ninja Forms」に脆弱性が報告されています。

 

脆弱性タイプ

XSS(クロスサイトスクリプティング)

Arbitrary File Uploading

PHP Object Injection(PHP オブジェクトインジェクション)

等々

 

発見バージョン

バージョン2.9.36から2.9.42まで

 

対応方法

対策版である2.9.43が既にリリースされております。

しかし、2016年5月13日現在、その他にも脆弱性が発見されており、その脆弱性を修正した最新版2.9.45がリリースされておりますので、そちらへアップデートされることをお勧めします。

 

 

 

 

このプラグインは、入力フォームを簡単にカスタマイズできるプラグインです。

5月13日現在、アクティブインストール50万以上、総ダウンロード数247万以上ととても人気のプラグインだ。

 

以前にも脆弱性情報があり、当ブログでも扱いました。

アクティブインストール20万以上のプラグイン「Ninja Forms」に脆弱性

80万ダウンロード、Ninja formsプラグインに脆弱性

1000万以上のサイトに影響、4月下旬に一気に多数のプラグインに脆弱性が発見されていたWordPress。

 

2015年8月よりアクティブインストールは30万、総ダウンロード数は倍の247万まで増えており、人気の高さが伺えます。

 

公式サイトによると35番目に人気のあるプラグインのようです。

リンク:https://wordpress.org/plugins/browse/popular/page/2/

 

今回複数の脆弱性が発生しておりますが、その中でも特にPHP オブジェクトインジェクションが最も重要で、こちらを悪用されますと任意のPHP コードを実行される可能性があります。

 

利用者は早めの最新版への更新をお勧めします。

 

【参考】

Ninja Forms- WordPress

Ninja Forms

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています