40万ダウンロードのSlideshow Galleryプラグインに、攻撃者が任意のPHPコードを実行できる脆弱性

画像のスライドショーを手軽に作成できるWordPressのプラグイン、Slideshow Galleryに、攻撃者が任意のPHPコードを実行できる脆弱性が発見されています。

110647 2014-08-30 Slideshow Gallery Plugin for WordPress slideshow-slides Page File Upload Remote Code Execution

Slideshow Gallery Plugin for WordPress contains a flaw that allows a remote attacker to execute arbitrary PHP code. This flaw exists because the slideshow-slides page does not properly verify or sanitize user-uploaded files. By uploading a .php file, the remote system will place the file in a user-accessible path. Making a direct request to the uploaded file will allow the attacker to execute the script with the privileges of the web server.

 

このプラグインは画像ファイルをスライド化でき、webサイトの視覚効果を高める機能があります。

手軽に利用でき、日本語の解説ページもあります。

 

なお、ベンダーからは脆弱性修正のアップデートが既にでており、バージョン1.4.7以上を使うことが推奨されています。

 

 

 

 

LINEで送る
Pocket

こんな記事も読まれています