1 名無しのニュー即 2020/09/03(木) 19:59:24.93 ID:OO5AIOrH0● BE:323057825-PLT(13000)
WordPressの「File Manager」プラグインに、リモートでコードが実行できるようになる脆弱性が発見されました。
この脆弱性を突けば、データを盗んだり、サイト自体を破壊したり、有害なコードを埋め込んだりすることが可能で、影響を受けるWordPressサイトは35万以上に及びます。
File Managerは、ファイルやフォルダの編集・削除・アップロード・ダウンロード・圧縮・コピー・貼り付けがWordPress上だけで全てできるというプラグイン。
導入するとFTP不要でファイル・フォルダ操作が可能となる、70万ダウンロードを超える人気プラグインの1つです。
File Managerに新たに発見された脆弱性は、認証されていないユーザーでも保護されていないファイルをアップロードできるというもの。
この脆弱性を利用すれば、バックドアとして機能するWebshellが埋め込まれたファイルをアップロードすることで、
File Managerがインストールされたディレクトリ下の「plugins/wp-file-manager/lib/files/」のコマンドを実行可能であるため、
攻撃者はこのディレクトリに悪意のあるphpファイルをアップロードして実行することで、WordPressブログを自由に改変しています。
実際に、セキュリティ企業のWordfenceは、過去数日間で45万回以上の攻撃をブロックしたと報告しており、想像を超える速度で攻撃が広まっていると指摘されています。
35万以上のWordPressサイトに影響を与える重大な脆弱性が発見される、数日で45万回以上の攻撃が行われたという報告も
https://gigazine.net/news/20200903-wordpress-file-manager-vulnerability/
26 名無しのニュー即 2020/09/03(木) 23:27:19.33 ID:RU/xD07+0
>>1
簡単なサイト作りたいけどワードプレスじゃなくて何で作ればいいの?
2 名無しのニュー即 2020/09/03(木) 20:03:09.79 ID:meDIToEO0
3 名無しのニュー即 2020/09/03(木) 20:05:31.22 ID:RMhdhx8x0
5 名無しのニュー即 2020/09/03(木) 20:15:01.43 ID:6smar5Gp0
まだWordPress使ってるって情弱すぎて救いようがないな
10 名無しのニュー即 2020/09/03(木) 20:56:56.35 ID:+D1GGTfZ0
7 名無しのニュー即 2020/09/03(木) 20:37:16.79 ID:2YmTXPNA0
標準で入っているやつではないんだな
入れてんのこれ
8 名無しのニュー即 2020/09/03(木) 20:40:20.96 ID:qK4UGv8/0
9 名無しのニュー即 2020/09/03(木) 20:46:17.62 ID:/KiOTdg30
やべー
昔会社の公開用サイトでcms使ってたけどマイナーで脆弱性検出の話なぞ聞かなくて逆に淋しくなったおもいで
11 名無しのニュー即 2020/09/03(木) 21:00:54.68 ID:U3mPZZX30
12 名無しのニュー即 2020/09/03(木) 21:07:34.58 ID:sMhtGAsQ0
13 名無しのニュー即 2020/09/03(木) 21:12:24.34 ID:VX9HZwrd0
WordPressって昔からPHPと合わせてボロクソに言われ続けてるけどボロいまま使われ続けてるよな
14 名無しのニュー即 2020/09/03(木) 21:15:56.30 ID:cWgE95uD0
15 名無しのニュー即 2020/09/03(木) 21:28:56.18 ID:t9EC/2uS0
ああ、安倍様お辞めになる前に聞いてみたかった
脆弱性>ふじゃくせい、きよわせい
16 名無しのニュー即 2020/09/03(木) 21:35:56.09 ID:AW2I9+1O0
wordpressとdreamwaverの違いさえ分からない
17 名無しのニュー即 2020/09/03(木) 21:41:28.51 ID:wIfpbicQ0
ワードプレス使って15年だが
初めて聞いたプラグインだ
18 名無しのニュー即 2020/09/03(木) 21:51:32.01 ID:nKK1Xmpc0
前のアップデートでタグが弄れなくなった
めんどくさいから放置してる
19 名無しのニュー即 2020/09/03(木) 22:10:10.00 ID:zpe70Lao0
ワードプレスでサイト運営してるけど、こんなプラグイン聞いたことないな
20 名無しのニュー即 2020/09/03(木) 22:27:03.87 ID:z3bCGEH70
レンタルサーバーの簡単インストールとかで入れてる人はどうするの…?
21 名無しのニュー即 2020/09/03(木) 22:36:18.89 ID:NoG/3RX80
22 名無しのニュー即 2020/09/03(木) 22:41:52.69 ID:QeCSIPz60
高機能なプラグインは入れずに自作テーマでカバーした方がメンテナンス性いいぞ。
気軽にWordpressアップデートできるしな。
23 名無しのニュー即 2020/09/03(木) 22:44:07.40 ID:8LBnhYeI0
一時期これ使ってホームページ作る大量の会社がIT企業だコンサルだ名乗ってて同業としては迷惑だったわ
24 名無しのニュー即 2020/09/03(木) 22:48:49.44 ID:kc8jP8xe0
25 名無しのニュー即 2020/09/03(木) 22:59:37.45 ID:Fu9RMIo80
Hugoとか使って静的サイトにすればいいのにまだしない(てきない)情弱御用達の旧石器時代の遺物を使い続ける意味とは
27 名無しのニュー即 2020/09/03(木) 23:29:46.04 ID:QRdAa0Rt0
Gatsbyとかで静的サイトつくったけど結局WordPressのほうが楽ちんよ。
28 名無しのニュー即 2020/09/03(木) 23:33:29.96 ID:Gm/HRZaA0
本スレ(引用元)
https://hayabusa9.5ch.net/test/read.cgi/news/1599130764/