WordPRessプラグイン「WP Mobile Detector」で脆弱性が発見される

2016年6月2日付けのSucuri Blogで発表された。同プラグインに任意のファイルをアップロードできる状態だったという。5月27日頃から脆弱性が発見された。

2016年5月末、WordPressのプラグインWP Mobile Detectorに脆弱性が発見されました。

Sucuri Researchなどのサービスを提供するセキュリティ会社、Sucuriが6月2日のSccuriブログで発表しています。ゼロデイ攻撃なるものが発生していたようです。

【ゼロデイ攻撃】

ゼロディ攻撃は、ソフトウェアの脆弱性が発見されてから修正・対策されるまでの期間を狙ったアタックのこと。

どんなプラグイン？

WP Mobile Detectorはパソコン用テーマ、スマホ用テーマをそれぞれ反映させて表示することができるというプラグインです。
当サイトでは使ったことないプラグインですが、タブレット端末用テーマがあればそれも切り替えることができるという優れた機能を持っています。

既に対応済み

今回5月末に脆弱性が発見されて、WP Mobile Detectorの修正バージョン3.6が公開された6月2日までの間にゼロデイ攻撃の危険性があったという出来事でした。

さらに6月3日には追加で修正バージョン3.7が公開されました。既に全ての対応は済んだとのこと。

今回のようにWordPressのプラグインはたまに脆弱性が発見されることがあります。WordPressは多くの人が利用するCMSなのでこのようなことが起こるのは避けては通れないことだと思いますが、たとえ脆弱性が発見されたとしてもこのように早急に対応されるのであれば安心ですね。