WordPressのfile.php脆弱性に関する検証レポートを発表(NTTデータ・セキュリティ) | ScanNetSecurity
2026.05.26(火)

WordPressのfile.php脆弱性に関する検証レポートを発表(NTTデータ・セキュリティ)

 NTTデータ・セキュリティ株式会社は11月18日、オープンソースのブログソフトウェアである「WordPress」に存在する、任意の実行ファイルがアップロード可能な脆弱性についての検証レポートを公開した。

製品・サービス・業界動向 業界動向
21 views
facebookLINE
 NTTデータ・セキュリティ株式会社は11月18日、オープンソースのブログソフトウェアである「WordPress」に存在する、任意の実行ファイルがアップロード可能な脆弱性についての検証レポートを公開した。

 この脆弱性は、同ソフトの「file.php」(ファイルアップロード用プログラム)の脆弱性に起因するもので、これを悪用されると、バックドア用の実行ファイルなどをアップされ、外部からWebサービスの実行ユーザ権限で任意のコマンドを実行される危険性があるというもの。影響を受けるのはWordPress 2.8.5以下のバージョン。対策として最新版(2.8.6)へのバージョンアップが推奨されている。

 検証では、ターゲットシステムとしてApache 2.2.3とWordPress 2.8.5を用意。WordPressの投稿権限を持つユーザとしてログインし、細工した実行ファイル(バックドアを設置)をアップロードすることで、ブラウザからWebサービスの実行ユーザ権限での任意のコマンド実行などを試みている。その結果、ユーザ情報が格納されているファイルの読み出し、コマンドの実行、データベース情報の取得が可能なことが実証され、危険性が非常に高いことが確認された。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091118.pdf

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

    最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

  2. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  3. YCC情報システムへのランサムウェア攻撃 第五報 ~ 攻撃者による脅迫文も

    YCC情報システムへのランサムウェア攻撃 第五報 ~ 攻撃者による脅迫文も

  4. 法人向けレンタルサーバが不正ログイン被害「ブラックリスト登録の恐れがあるため予告なく対象メールアドレスのパスワードを変更」

    法人向けレンタルサーバが不正ログイン被害「ブラックリスト登録の恐れがあるため予告なく対象メールアドレスのパスワードを変更」

  5. 侵入経路となった VPN は使用しない体制に ~ オリエンタルダイヤモンドへのランサムウェア攻撃

    侵入経路となった VPN は使用しない体制に ~ オリエンタルダイヤモンドへのランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP