オープンソースの人気CMSソフト「WordPress」に、任意のファイルがアップデートされる脆弱性が見つかった問題で、NTTデータ・セキュリティが検証レポートを公開した。
同ソフトに含まれるファイルのアップロードを行なう「file.php」に脆弱性が含まれていたもので、影響を受けるのは、「同2.8.5」以下のバージョン。「同2.8.6」以後へアップロードすることで問題を回避出来る。
本来、利用者に対して実行ファイルのアップロードを制限して居るが、脆弱性により実行ファイルが管理者の意図に反してアップロードされる可能性が有ると言う。
アップロードがおこなわれた場合、ウェブサービスの実行権限でコマンドを実行することが可能となり、悪意有る使い手にバックドア等を設置されるお其れが有る。ウェブサービスの実行権限によってはシステム全体が乗っ取られる可能性があり、同社では注意喚起を行って居る。
NTTデータ・セキュリティ
http://www.nttdata-sec.co.jp/
[News WordPress(WP)] [コメント:0] [] PAGE TOP↑
