メールをSMTP経由で送れるようにするプラグイン Easy WP SMTP に深刻な脆弱性が発見され、修正版の1.3.9.1がリリースされている。利用している方はすぐに更新しよう。
脆弱性の内容
チェンジログでは “Fixed potential vulnerability in import\export settings.” と簡単に触れられているが、認証されていないユーザーが管理者としてログイン可能になってしまう超ド級の脆弱性だ。技術的な詳細はこちら。
なぜこんなことに気づいたかというと、このCapital Pもこの脆弱性によってハックされてしまったからである。深夜2時、ユーザーが新しく登録されたのだが、このサイトCapital Pではメールアドレスによってユーザーを登録することはできず、SNS連携でしか登録することはできない。要するに、たまたまメールを見て気づいた次第だ。
被害としては、サイトのURLが getmytraffic.com というサイトのドメインに切り替わってしまうというもの。幸い、テーマ・プラグインの編集権限も削除していたので、書き換えられることはなかった。チェックサムも確認したところ、ファイル改ざんの痕跡もなかった。
また、ユーザー情報へのアクセスもアクセスログからは確認できなかったので、会員のみなさんは安心してほしい。とはいえWordPress専門メディアとうたいながらハックされてしまうのはお恥ずかしい限り。私は貝になりたい。
申し訳ございません、このリンクは現在利用できないようです。のちほどお試しください。
コメントを残す