複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
Defiantはこのほど、「Several WordPress.org Plugins <= Various Versions - Injected Backdoor」において、複数のWordPressプラグインにバックドアが挿入されたと報じた。影響を受けたプラグインをインストールしているWebサイトには、不正な管理者ユーザーが作成され、Webサイト全体にSEOスパム(Search Engine Optimization SPAM)を挿入される可能性がある。
詳細は次のページにまとまっている。
Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins
○侵害されたWordPressプラグイン
侵害されたWordPressプラグインおよびバージョンは次のとおり。
BLAZE Retail Widget 2.2.5から2.5.2までのバージョン
Contact Form 7 Multi-Step Addon 1.0.4または1.0.5
Simply Show Hooks 1.2.1または1.2.2
Social Sharing Plugin Social Warfare 4.4.6.4から4.4.7.1までのバージョン
Wrapper Link Elementor 1.0.2または1.0.3
○修正されたWordPressプラグイン
修正されたWordPressプラグインおよびバージョンは次のとおり。
BLAZE Retail Widget 2.5.4
Contact Form 7 Multi-Step Addon 1.0.7
Social Sharing Plugin Social Warfare 4.4.7.3
Wrapper Link Elementor 1.0.5
「Simply Show Hooks」プラグインは修正することなく削除された。このプラグインをインストールしているWebサイトの管理者には、速やかなプラグインの削除と侵害調査の実施が推奨されている。
○影響と対策
侵害されたプラグインはWebサイトに悪意のある管理者アカウントを作成し、Webサイトの情報を攻撃者に送信する。攻撃者は受信した情報を基にWebサイトに追加の攻撃を実施できるため、プラグインを削除しても安全ではない。
-
-
- 1
- 2
-
この記事に関連するニュース
-
日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年6月27日 8時28分
-
【セキュリティレポ―ト】改ざんサイト訪問者のWebブラウザーで「辞書攻撃」を秘密裏に強制 攻撃者は他人を介して不正アクセスを実行
Digital PR Platform / 2024年6月18日 9時0分
-
WordPressサイトから偽のChromeアップデート配信、341のWebサイトが侵害
マイナビニュース / 2024年6月7日 8時5分
-
AndroidやiOS向けスパイウェア「LightSpy」のmacOS版発見、古い脆弱性悪用
マイナビニュース / 2024年6月4日 12時35分
-
5月のWordPressプラグイン脆弱性まとめ、確認と対応を
マイナビニュース / 2024年6月4日 9時29分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
3iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
4オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
5飛行機が“20分”遅れてしまい……? 乗り継ぎに間に合うよう空港職員がしてくれた“まさかの気遣い”に「すごく楽しそう」「引くほど速い」の声
ねとらぼ / 2024年6月29日 18時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)