JVN#67963942 WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
JVN#67963942: WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
JVN#67963942 WordPress用プラグインAdvanced Custom Fieldsにおけるクロスサイトスクリプティングの脆弱性
JVN#98946408: WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性
JVN#98946408 WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性
サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行 | スラド セキュリティ
サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている(The Daily Swig、matsuu序二段さんのツイート)。 The Daily Swig の記事によれば、この攻撃はCertificate Transparency(CT)システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。 この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh
JVN#42543427: WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性
JVN#42543427 WordPress 用プラグイン Advanced Custom Fields における認証欠如の脆弱性
90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた
ネット上に存在する全ウェブサイトのうち43.3%で利用されているというブログソフトウェア・WordPressにおいて、合計90以上のテーマやプラグインに、ウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていたことがわかりました。 Backdoor Found in Themes and Plugins from AccessPress Themes https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/ AccessPress Themes Hit With Targeted Supply Chain Attack https://blog.sucuri.net/2022/01/accesspress-themes-hit-with-targeted
JVN#09136401: WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性
JVN#09136401 WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性
キーロガー&マイニング用スクリプト入りのマルウェアがWordPressで流行中、5500近いサイトに感染
by Kaitlyn Baker 2017年11月に入ってjQueryやGoogle Analyticsのコードに見せかけてマイニング用スクリプトを読み込ませるというマルウェア「cloudflare[.]solution」が流行しています。11月時点では感染サイト数は1833だったのですが、その後、マルウェアは進化してキーロガーの機能も取り込み、感染サイト数が5500に迫っていることがわかりました。 Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites https://blog.sucuri.net/2017/12/cloudflare-solutions-keylogger-on-thousands-of-infected-wordpress-sites.html Hacked Websites
WordPressのCaptchaプラグインにバックドア発見、30万件以上のサイトに影響か
by Peter Hershey オープンソースのブログソフトウェア・WordPressで、「Captcha」プラグインにバックドアが存在し、サイトの管理アクセス権を不正に取得できる状態だったことがわかりました。すでにプラグインからバックドアは削除されています。 Backdoor in Captcha Plugin Affects 300K WordPress Sites https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/ Hidden Backdoor Found In WordPress Captcha Plugin Affects Over 300,000 Sites https://thehackernews.com/2017/12/wordpress-security-plugin.html WordPr
【セキュリティ ニュース】WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か(1ページ目 / 全2ページ):Security NEXT
WordPressを外部より容易に改ざんできる脆弱性の情報開示が行われた問題で、アップデートが未実施だったサイトに被害が拡大している。ある攻撃キャンペーンでは、2日間で数万件のページが被害に遭ったと見られている。 同脆弱性を発見、公表したSucuriが、同社のウェブアプリケーションファイアウォール(WAF)やハニーポットに対する攻撃状況などを踏まえ、脆弱性公開後の状況や攻撃発生状況などを取りまとめたもの。 脆弱性情報の公開から2日も経たずにオンライン上では複数の攻撃コードが投稿、共有されている状況で、攻撃者が脆弱性に関する詳細な情報が容易に入手できる状態にあると説明。 徐々に脆弱性が未修正のウェブサイトの探索や悪用が拡大、同社のWAFによる検知数も増加を辿っており、2月6日には3000件弱の攻撃を検知したとしている。 また今回の脆弱性に関連し、同社が把握しているだけで少なくとも4種類の攻撃
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
PHPMailerの脆弱性 CVE-2016-10033/CVE-2016-10045についてまとめてみた - piyolog
2016年12月25日、PHPのメール送信ライブラリPHPMailerに任意のコード実行可能な脆弱性が確認されたとして情報が公開されました。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 PHPMailer CVE CVE-2016-10033 CVE-2016-10045 影響 RCE 重要度 Critical(発見者) 緊急(JVN) CVSS JPCERT/CC評価 CVSSv3:5.4 (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N) CVSSv2:5.5 (AV:N/AC:L/Au:S/C:P/I:P/A:N) PoC インターネット上に公開済 CVE-2016-10033⇒2016/12/26 CVE-2016-10045⇒2016/12/28 発見者/報告者 CVE-2016-10033:Dawid Golunski氏(
パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明
パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明2016.04.11 13:005,691 渡邊徹則 思わぬところに穴が…。 世界中の政治家や経済人、著名スポーツ選手など、いわゆる「世界トップの大金持ち」たちがタックスヘイブンで資産を隠しているのではないかという疑惑が浮上した、パナマ文書問題。その真相をめぐり、いまだ世界を揺るがし続けています。 その情報の流出元については、内部の何者かによるリーク(漏洩)説と、「リークではなくハック」だという説が囁かれています。真相はまだ不明ながら、もしハックだとしたら、Wordpressのプラグインが原因である可能性が浮上しました。 そのプラグインの名は「Revolution Slider」。以前、Slider Revolutionというプラグインを狙ったロシアのマルウェアがありましたが、それと同様、サイト
【セキュリティ ニュース】「WPTouch」など多数のWordPressプラグインに脆弱性(1ページ目 / 全1ページ):Security NEXT
WordPress向けに提供されている複数のプラグインから、クロスサイトスクリプティングの脆弱性が見つかっているとして、セキュリティベンダーが注意を呼びかけている。関数の誤使用に起因し、多数のプラグインが影響を受けているという。 米Sucuriによると、問題の脆弱性は、4月13日の週に判明したもので、関数「add_query_arg()」「remove_query_arg()」の使用方法に起因。公式ドキュメントにある記載が不明確で、多くのプラグイン開発者が安全ではない方法で関数を用いていると同社は指摘している。 実際に影響を受けたプラグインを見ると、「WordPress SEO」「Google Analytics by Yoast」「All In one SEO」などSEO機能を提供するプラグインのほか、スマートフォン向けのインタフェースを提供する「WPTouch」、リンクのチェック機能を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#60331535: WordPress用プラグインSiteGuard WP Pluginにおける変更したログインパスが漏えいする脆弱性
JVNVU#97876221: WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
JVN#97197972: WordPress 用プラグイン Welcart e-Commerce における複数の脆弱性
JVN#90560760: WordPress 用プラグイン TS Webfonts for さくらのレンタルサーバにおける複数の脆弱性
JVN#01093915: WordPress 用プラグイン MW WP Form および Snow Monkey Forms における複数の脆弱性
JVN#13927745: WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
JVN#09409909: WordPress における複数の脆弱性