Defiantは2月8日(米国時間)、「Severe Vulnerabilities Patched in NextGen Gallery Affect over 800,000 WordPress Sites」において、WordPressのプラグイン「NextGen Gallery」に脆弱性が存在すると伝えた。このプラグインには2つのクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在するとされており、最終的にサイトの乗っ取り、悪意あるリダイレクト、スパムインジェクション、フィッシング詐欺などに悪用される可能性があるとされており注意が必要。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- NextGEN Gallery 3.5.0よりも前のバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- NextGEN Gallery 3.5.0
-
Severe Vulnerabilities Patched in NextGen Gallery Affect over 800,000 WordPress Sites
深刻度は一方がCVSSスコア9.6で緊急(Critical)、もう一方が深刻度がCVSSスコア8.8で重要(High)に分類されている。すでに脆弱性が修正されたバージョンが公開されており、Defiantは該当するプロダクトを使っている場合は問題が修正されている最新版へアップデートすることを強く推奨している。このプラグインは80万を超えるサイトで使われていると見られており注意が必要。
