- 2014年9月3日
- WordPress脆弱性情報
40万ダウンロードのSlideshow Galleryプラグインに、攻撃者が任意のPHPコードを実行できる脆弱性
画像のスライドショーを手軽に作成できるWordPressのプラグイン、Slideshow Galleryに、攻撃者が任意のPHPコードを実行できる脆弱性が発見されています。
110647 | 2014-08-30 | Slideshow Gallery Plugin for WordPress slideshow-slides Page File Upload Remote Code Execution | |||
Slideshow Gallery Plugin for WordPress contains a flaw that allows a remote attacker to execute arbitrary PHP code. This flaw exists because the slideshow-slides page does not properly verify or sanitize user-uploaded files. By uploading a .php file, the remote system will place the file in a user-accessible path. Making a direct request to the uploaded file will allow the attacker to execute the script with the privileges of the web server. |
このプラグインは画像ファイルをスライド化でき、webサイトの視覚効果を高める機能があります。
手軽に利用でき、日本語の解説ページもあります。
なお、ベンダーからは脆弱性修正のアップデートが既にでており、バージョン1.4.7以上を使うことが推奨されています。