88万ダウンロード InfiniteWP Client プラグインに4つの脆弱性

複数のWordPressサイトを管理するプラグイン、Infinite WP Cllientプラグインに4つの脆弱性が報告されています。

 

115640 2014-12-10 InfiniteWP Client Plugin for WordPress iwp_users.password Local Unsalted SHA1 Password Hash Disclosure
115639 2014-12-10 InfiniteWP Client Plugin for WordPress Multiple Extension File Upload Remote Code Execution
115641 2014-12-10 InfiniteWP Client Plugin for WordPress login.php email Parameter SQL Injection
115642 2014-12-10 InfiniteWP Client Plugin for WordPress execute.php historyID Parameter SQL Injection

 

パスワードハッシュの不適切な取り扱い、アップロードファイルの不適切な取り扱い、SQLインジェクション2件と脆弱性のオンパレードですが、パスワードハッシュの脆弱性を除き、3つはアップデートで対応可能です。

しかし、最も大事な情報であるパスワードに関する脆弱性が存在することから、現在のバージョンでの利用は推奨されません。(2014,12,12現在)サイト管理者の方は注意が必要です。

 

なお、日本語での解説ページもあります。

[太]複数のWordPressサイト管理者の負担を激減させてくれるInfiniteWPがかなり便利そう。

このInfiniteWPが何をしてくれるんですの?ということですが、複数のWordPressサイトのプラグインやテーマのアップグレードとインストール、WordPressのバージョンアップを一回の操作で同時に実施してくれる統合管理ツールです。

もちろんドメインやサーバーが異なっていても全然問題なし。

アドオンも提供されており、かなり高機能なようですが、利用には十分な注意が必要です。

 

 

LINEで送る
Pocket

こんな記事も読まれています