- 2014年12月12日
- WordPress脆弱性情報
88万ダウンロード InfiniteWP Client プラグインに4つの脆弱性
複数のWordPressサイトを管理するプラグイン、Infinite WP Cllientプラグインに4つの脆弱性が報告されています。
115640 | 2014-12-10 | InfiniteWP Client Plugin for WordPress iwp_users.password Local Unsalted SHA1 Password Hash Disclosure |
115639 | 2014-12-10 | InfiniteWP Client Plugin for WordPress Multiple Extension File Upload Remote Code Execution |
115641 | 2014-12-10 | InfiniteWP Client Plugin for WordPress login.php email Parameter SQL Injection |
115642 | 2014-12-10 | InfiniteWP Client Plugin for WordPress execute.php historyID Parameter SQL Injection |
パスワードハッシュの不適切な取り扱い、アップロードファイルの不適切な取り扱い、SQLインジェクション2件と脆弱性のオンパレードですが、パスワードハッシュの脆弱性を除き、3つはアップデートで対応可能です。
しかし、最も大事な情報であるパスワードに関する脆弱性が存在することから、現在のバージョンでの利用は推奨されません。(2014,12,12現在)サイト管理者の方は注意が必要です。
なお、日本語での解説ページもあります。
このInfiniteWPが何をしてくれるんですの?ということですが、複数のWordPressサイトのプラグインやテーマのアップグレードとインストール、WordPressのバージョンアップを一回の操作で同時に実施してくれる統合管理ツールです。
もちろんドメインやサーバーが異なっていても全然問題なし。
アドオンも提供されており、かなり高機能なようですが、利用には十分な注意が必要です。