Sucuriは9月2日(米国時間)、「Critical Vulnerability in File Manager Plugin Affecting 700k WordPress Websites」において、WordPressのプラグインである「File Manager」に脆弱性が存在すると伝えた。この脆弱性は悪用しやすいため、実際に何十万ものリクエストにおいて悪用されようとしていることがわかっており、注意が呼びかけられている。
脆弱性を修正されたWordPressの最新版が公開されていることから、該当するプラグインを使用している場合はただちにアップデートを適用することが望まれる。
SucuriはWordPress File Managerプラグインのセキュリティインシデントについて、タイムラインを次のようにまとめている。
| 日付 | 内容 |
|---|---|
| 2020年5月5日 | WordPress File Managerプラグインバージョン6.4公開。このバージョンに脆弱性が混入される |
| 2020年8月25日 | GithubにおいてWordPress File Managerの脆弱性を突くエクスプロイトが公開される |
| 2020年8月31日 | WordPress File Managerプラグインに対するサイバー攻撃が観測される |
| 2020年9月1日 | 脆弱性を修正したWordPress File Managerプラグインバージョン6.9が公開される |
WordPressは世界で最も広く使われているCMS (Content Management System)。プラグインでさまざまな機能を追加することができる。しかし、ユーザー数が多いことからサイバー攻撃の対象としても人気がある。また、WordPressのプラグインがサイバー攻撃の対象となることも多い。WordPressとプラグインの双方を常に最新の状態に保つとともに、セキュリティ情報に注意して必要に応じて迅速にアップデートを適用することが望まれる。
