WordPressコアに複数の脆弱性、XSSほか中程度の脅威 | ScanNetSecurity
WordPressに新たな管理者アカウントを作成してサイトを乗っ取るマルウェアが出現
WordPress向けセキュリティプラグイン・Wordfenceを開発しているDefiantが、本物のWordPressプラグインを装いつつさまざまなタスクを実行できる、高度なバックドアとして機能するマルウェアの存在を明らかにしています。 Backdoor Masquerading as Legitimate Plugin https://www.wordfence.com/blog/2023/10/backdoor-masquerading-as-legitimate-plugin/ New WordPress backdoor creates rogue admin to hijack websites https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to
Criminal IP、総当たり攻撃をブロックするWordPressセキュリティプラグインをリリース
Criminal IP、総当たり攻撃をブロックするWordPressセキュリティプラグインをリリースサイバー脅威インテリジェンス基盤のFDSを通じて非正常的なアクセスで検知されたIPアドレスをブロック サイバー脅威インテリジェンス専門企業のAI Spera(エイアイスペラ, CEO姜 秉卓)がCriminal IP(クリミナルアイピー)」のリアルタイムインテリジェンスデータを連動した総当たり攻撃保護のためのワードプレス(WordPress)プラグインの「Criminal IP Anti-Brute Force, Login Fraud Detector(以下、Criminal IP FDSプラグイン)」をリリースしました。 ワードプレスのセキュリティプラグインの「Criminal IP Anti-Brute Force, Login Fraud Detector」をリリース Crimina
200万超のWordPressサイトが影響を受ける脆弱性に注意、機密情報窃取の恐れ
Patchstackは5月5日(現地時間)、「Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites」において、WordPressで人気のあるカスタムフィールドプラグインにクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性が存在すると伝えた。すでに200万以上のWebサイトにインストールされ、深刻度は重要(High)と分析されている。 Reflected XSS in Advanced Custom Fields Plugins Affecting 2+ Million Sites 脆弱性は「CVE-2023-30777」として特定されている。この脆弱性を悪用された場合、認証されていないユーザーが機密情報を窃取したり、影響を受けるWordPressサイトにお
2月のWordPressプラグイン脆弱性まとめ、確認と対応を
Sucuriは月27日(米国時間)、「WordPress Vulnerability & Patch Roundup February 2023」において、2023年2月に明らかになったWordPressの脆弱性およびセキュリティパッチの情報について伝えた。 SucuriはWebサイト所有者に対して新たな脅威を把握して対処してもらえるよう、1カ月間のWordPressエコシステムの重要なセキュリティアップデートと脆弱性パッチの一覧をまとめて公表している。 WordPress Vulnerability & Patch Roundup February 2023 今月は19個の脆弱性とその緩和策が紹介されている。セキュリティリスクが「緊急(Critical)」が1、「重要(High)」が5、「警告(Medium)」が10、「低(Low)」が1となっている。 今月の主な脆弱性は次のとおり。 [
~11,000 sites have been infected with malware that’s good at avoiding detection
Nearly 11,000 websites in recent months have been infected with a backdoor that redirects visitors to sites that rack up fraudulent views of ads provided by Google Adsense, researchers said. All 10,890 infected sites, found by security firm Sucuri, run the WordPress content management system and have an obfuscated PHP script that has been injected into legitimate files powering the websites. Such
WordPressの“古いプラグインやテーマ”から侵入するサイバー攻撃、ロシアの企業が発表 標的のアドオンリストあり
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。 Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。 このマルウェア(トロイの木馬)は32ビットと64ビットの両方のLinuxシステムをターゲットにしており、そのオペレーターにリモートコマンド機能を与える
WordPressサイトに偽のjQueryを挿入、詐欺サイトに誘導
Sucuriはこのほど、「Fake jQuery Domain Redirects Site Visitors to Scam Pages」において、偽のjQueryドメインがWebサイト訪問者をフィッシングWebサイトにリダイレクトさせていると伝えた。160以上のWordPressサイトでJavaScriptインジェクションが検出されている。 Fake jQuery Domain Redirects Site Visitors to Scam Pages 脆弱性のあるWordPressサイトが侵害され、正規のJavaScriptファイルの先頭に悪意のあるJavaScriptスクリプトが注入されるというJavaScriptインジェクションが発見されている。そのスクリプトにはフィッシングWebサイトにリダイレクトするよう実装されていることが明らかとなった。 フィッシングWebサイトのドメイン
謎のロシア製マルウェアがWordpressのサイトを狙って拡散中
Wordpressでサイトを運用している方、ご注意! ロシア製のマルウェア、「SoakSoak」が急激に広まっています。日曜日から確認されたものだけでも、すでに約10万以上のサイトに影響が及んでいると見られ、グーグルはすでに1万1,000サイトをブロックしました。 セキュリティ関連企業Sucuriの指摘によると、これは、スライドショーを簡単に作れることで大変人気のあるプラグイン「Slider Revolution」の脆弱性を狙ったものとのこと。Slider Revolutionの開発チームは、少なくとも9月にはこの脆弱性を知っていたのにその対策を怠っていたとも指摘しています。 Sucuriはまた、このマルウェアの根絶はとても難しいとも指摘しています。なぜなら、Slider Revolutionはその人気のためテーマに最初から入っていることも多く、自身のサイトにSlider Revoluti
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Hackers exploiting critical WordPress WooCommerce Payments bug
WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨
WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性 | ScanNetSecurity
WordPress 用プラグイン Advanced Custom Fields に認証欠如の脆弱性 | ScanNetSecurity