Defiantは2月17日(米国時間)、「Vulnerability in UpdraftPlus Allowed Subscribers to Download Sensitive Backups」において、人気の高いWordPressバックアッププラグインである「UpdraftPlus」に、権限を持っていないユーザーがバックアップをダウンロードできる脆弱性が存在すると伝えた。情報窃取のみならず、結果として、影響を受けるサイトの制御権が乗っ取られる危険性もあるとされている。
-
UpdraftPlus WordPress Backup Plugin – WordPress plugin | WordPress.org
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- UpdraftPlus verson 1.16.7から1.22.2までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- UpdraftPlus verson 1.22.3
脆弱性の深刻度はCVSSスコア8.5で重要(High)に分類されており注意が必要。この脆弱性を悪用するには標的となるシステム上のアカウントが必要になることから、標的型攻撃で悪用される可能性が高いと分析されている。
Defiantは該当するプロダクトを利用しているすべてのユーザーに対して、問題が修正されたUpdraftPlus verson 1.22.3へバージョンアップすることを強く推奨している。執筆時点ではUpdraftPlus verson 1.22.4が公開されている。
