54万ダウンロード Google Doc Embedder プラグインに脆弱性

様々なファイルをページに埋め込むことができるプラグイン、Google Doc Embedderに脆弱性が報告されています。

具体的には、以下のファイルを埋め込むことができます。

 

  • Adobe Acrobat (PDF)
  • Microsoft Word (DOC/DOCX*)
  • Microsoft PowerPoint (PPT/PPTX*)
  • Microsoft Excel (XLS/XLSX*)
  • TIFF Images (TIF, TIFF)
  • Apple Pages (PAGES)
  • Adobe Illustrator (AI)
  • Adobe Photoshop (PSD)
  • Autodesk AutoCad (DXF)
  • Scalable Vector Graphics (SVG)
  • PostScript (EPS/PS)
  • OpenType/TrueType Fonts (OTF, TTF)
  • XML Paper Specification (XPS)
  • Archive Files (ZIP/RAR)

 

今回発見された脆弱性はSQLインジェクションに関するものです。

115044 2014-11-25 Google Doc Embedder Plugin for WordPress /google-document-embedder/view.php gpid Parameter SQL Injection

Google Doc Embedder Plugin for WordPress contains a flaw that may allow carrying out an SQL injection attack. The issue is due to the /google-document-embedder/view.php script not properly sanitizing user-supplied input to the ‘gpid’ GET parameter. This may allow a remote attacker to inject or manipulate SQL queries in the back-end database, allowing for the manipulation or disclosure of arbitrary data.

 

脆弱性の発表とともに脆弱性が修正された最新版が出ているため、最新版へのアップデートが推奨です。

LINEで送る
Pocket

こんな記事も読まれています