20万ダウンロード、Paid Memberships Pro プラグインに脆弱性

20万ダウンロードを誇る、会員管理プラグイン、Paid Memberships Proに脆弱性が報告されています。

日本語の解説などもあります。

 

無料で使える!会員管理プラグイン『Paid Memberships Pro』

解説ビデオは以下。

 

 

どうやら今回発見された脆弱性はパス・トラバーサルに関連するもののようです。

 

114820 2014-11-19 Paid Memberships Pro Plugin for WordPress /admin-ajax.php action Parameter Remote Path Traversal File Access

Paid Memberships Pro Plugin for WordPress contains a flaw that allows traversing outside of a restricted path. The issue is due to the /admin-ajax.php script not properly sanitizing user input, specifically path traversal style attacks (e.g. ‘../’) supplied via the ‘action’ parameter. With a specially crafted request, a remote attacker can gain access to arbitrary files.

 

最新版では、既にこの脆弱性は修正済みとのこと。アップデートが推奨です。

 

LINEで送る
Pocket

こんな記事も読まれています