WordPressプラグインに脆弱性

6月3日(米国時間)、Threatpostに掲載された記事「WordPress Patches WP Mobile Detector Plugin Zero Day｜Threatpost｜The first stop for security news」が、WordPressプラグイン「WP Mobile Detector」にゼロデイのセキュリティ脆弱性が発見されたと伝えた。すでに脆弱性を修正した「WP Mobile Detector version 3.7」がリリースされており、すべてのユーザーに対し迅速にアップデートを適用することが望まれている。

この脆弱性を悪用されると、遠隔から任意のファイルをアップロードされる危険性がある。しかし、この脆弱性を悪用するにはallow_url_fopenオプションが有効化されている必要があり、このオプションはデフォルトでは無効化されていることから影響範囲はインストール数ほどは広くないと見られる。ただし、対象のオプションが有効になっている場合はこの脆弱性を悪用するのは簡単だとされており注意が必要。

WordPressは世界中で最も多く使われているCMSの1つ。プラグインやスキンなどを使ってカスタマイズすることができ、人気がある。ただし、プラグインやスキンに脆弱性が発見されることも多く、 WordPressのみならず利用しているプラグインやスキンも含めて最新の状態にアップデートし続けることが推奨される。