WP Ultimate CSV Importer プラグインに脆弱性

10万回以上のダウンロード回数を誇る、有名プラグインのWP Ultimate CSV Importerに、脆弱性が報告されています。

このプラグインは、任意の投稿に対して、エクセルなどで作成したファイルをフィールドを指定してアップロードできるというもの。便利です。

 

以下は解説動画です。

 

 

脆弱性は、wpcontenturlに送られたパラメータを適切にサニタイズしていないというもの。攻撃者は任意のコードを実行できてしまいます。

 

対策法はすでに供給元がアップデートを発表しており、バージョンを3.6.1以上にするというもの。

簡単なので、直ぐにアップデートをおすすめします。

LINEで送る
Pocket

こんな記事も読まれています