Defiantは12月11日(米国時間)、「Critical Unauthenticated Remote Code Execution Found in Backup Migration Plugin」において、WordPressのバックアップ移行プラグイン「Backup Migration」に重大なリモートコード実行(RCE: Remote Code Execution)の脆弱性が発見されたと報じた。
-
Critical Unauthenticated Remote Code Execution Found in Backup Migration Plugin
脆弱性の影響を受けるバージョンと修正されたバージョン
この脆弱性はバグハンタチームの「Nex Team」によって発見され、Wordfenceのバグ報奨金プログラムに基づいて報告された。この脆弱性はCVE-2023-6553として追跡されている。
脆弱性の影響を受けるバージョンは次のとおり。
- Backup Migration 1.3.7およびこれ以前のバージョン
脆弱性が修正されたバージョンは次のとおり。
- Backup Migration 1.3.8およびこれ以降のバージョン
脆弱性の概要
脆弱性「CVE-2023-6553 」の情報は次のとおり。
- CVE-2023-6553 - 「/includes/backup-heart.php」ファイルを経由したリモートコード実行の脆弱性。認証されていない攻撃者がこのファイルに渡される値を制御することで、リモートから任意のPHPコードを実行できる可能性がある
Backup Migrationは9万以上のWebサイトで利用されているとみられ、この脆弱性を悪用されるとサイトを完全に侵害される可能性があり注意が必要。この脆弱性は深刻度が緊急(Critical)と評価されている。DefiantはWordPressを使用している管理者に対し、該当のプラグインを使用しているか確認し、使用している場合は速やかにアップデートすることを推奨している。
Windows 11、11月の更新プログラム(KB5046617)で複数の不具合
