情報処理推進機構(IPA: Information-technology Promotion Agency)はこのほど、「WordPress 用プラグイン「File Manager」の脆弱性対策について(CVE-2020-25213) 」において、オープンソースのCMSであるWordPress用プラグインの「File Manager」において発見された脆弱性について注意喚起を行った。この脆弱性を悪用されると、攻撃者によってリモートから任意のコードが実行される危険性がある。

  • WordPress 用プラグイン「File Manager」の脆弱性対策について(CVE-2020-25213) :IPA

    WordPress 用プラグイン「File Manager」の脆弱性対策について(CVE-2020-25213) :IPA

File Managerは、WordPress上で直接ファイルやフォルダをアップロードやダウンロード、編集やコピー&ペーストを行うことがあるプラグインであり、該当する脆弱性は2020年5月にリリースされたバージョン6.4で混入した。8月25日に実行可能な概念実証コードが公開されたのちに、実際にこれを悪用したサイバー攻撃が観測されている。

この脆弱性については、JPCERTコーディネーションセンター(JPCERT/CC)も次のページで情報公開を行っている。

開発元からは、すでに同9月1日に対策を施したバージョン6.9がリリースされているが、35万以上のWordPressサイトが影響を受ける極めて重大な脆弱性であるため、IPAが注意喚起を行った。脆弱性の深刻度を表すCVSS v3のベーススコアは最高値の10と評価されており、影響を受けるバージョンのを使用している場合は早急にアップデートを適用するか、またはアンインストールすることが推奨される。

脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。IPAはユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。