88万ダウンロード InfiniteWP Client プラグインに4つの脆弱性

複数のWordPressサイトを管理するプラグイン、Infinite WP Cllientプラグインに4つの脆弱性が報告されています。

 

115640 2014-12-10 InfiniteWP Client Plugin for WordPress iwp_users.password Local Unsalted SHA1 Password Hash Disclosure
115639 2014-12-10 InfiniteWP Client Plugin for WordPress Multiple Extension File Upload Remote Code Execution
115641 2014-12-10 InfiniteWP Client Plugin for WordPress login.php email Parameter SQL Injection
115642 2014-12-10 InfiniteWP Client Plugin for WordPress execute.php historyID Parameter SQL Injection

 

パスワードハッシュの不適切な取り扱い、アップロードファイルの不適切な取り扱い、SQLインジェクション2件と脆弱性のオンパレードですが、パスワードハッシュの脆弱性を除き、3つはアップデートで対応可能です。

しかし、最も大事な情報であるパスワードに関する脆弱性が存在することから、現在のバージョンでの利用は推奨されません。(2014,12,12現在)サイト管理者の方は注意が必要です。

 

なお、日本語での解説ページもあります。

このInfiniteWPが何をしてくれるんですの?ということですが、複数のWordPressサイトのプラグインやテーマのアップグレードとインストール、WordPressのバージョンアップを一回の操作で同時に実施してくれる統合管理ツールです。

もちろんドメインやサーバーが異なっていても全然問題なし。

アドオンも提供されており、かなり高機能なようですが、利用には十分な注意が必要です。

レオンテクノロジーは現在、一緒に働く仲間を募集しております!
興味がある方はこちらから!

セキュリティに関するご相談はこちらから!

こんな記事も読まれています

2021年9月14日

WordPress、バージョン5.4~5.8で脆弱性。対策バージョン5.8.1リリース済み。

2021年5月14日

WordPress、バージョン5.7.1以下で脆弱性。対策バージョン5.7.2リリース済み。

2020年6月16日

WordPress、バージョン5.4.1以下で複数の脆弱性。対策バージョン5.4.2リリース済み。