WordPress 4.6 においてPHPMailer の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.25(土)

WordPress 4.6 においてPHPMailer の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

WordPress の特定の 1 バージョンに加えて、Exim4 がメール送信ソフトとして用いられている Web サーバが影響を受けるという、影響範囲が限定的な脆弱性ではありますが、WordPress の普及度を考慮すると、社会的影響度が高い脆弱性であると考えられます。

脆弱性と脅威 エクスプロイト
◆概要

世界的に利用されている CMS ソフトウェアである WordPress に、値検証不備を悪用して、PHPMailer に存在する既知の脆弱性 (CVE-2016-10033) を悪用した、遠隔からの任意のコードが実行可能となる脆弱性が報告されています。攻撃者に当該脆弱性を悪用されてしまった場合は、WordPress を実行しているアカウントの権限でホストに侵入され、情報漏洩やファイルを改竄されてしまう可能性があります。WordPress で作成された Web サイトを運用している場合は、WordPress のバージョンを確認しアップデートすることで、脆弱性に対策してください。

----------------------------------------------------------------------

◆分析者コメント

WordPress の特定の 1 バージョンに加えて、Exim4 がメール送信ソフトとして用いられている Web サーバが影響を受けるという、影響範囲が限定的な脆弱性ではありますが、WordPress の普及度を考慮すると、社会的影響度が高い脆弱性であると考えられます。脆弱性を悪用する手順が容易であることから、WordPress を用いているサイトに対して、攻撃者が積極的に悪用を試みる脆弱性であると考えられます。WordPress を用いた Web サーバを運用している場合は、運用している WordPress のバージョン情報を確認し、早急に対策してください。

《株式会社ラック サイバー・グリッド研究所》

関連記事

PageTop

特集

アクセスランキング

  1. MBSD国分裕の「脆弱性診断士育成」カリスマ授業

    MBSD国分裕の「脆弱性診断士育成」カリスマ授業

  2. 「アンとケイト」に不正アクセス、登録情報が流出の可能性(マーケティングアプリケーションズ)

    「アンとケイト」に不正アクセス、登録情報が流出の可能性(マーケティングアプリケーションズ)

  3. NTTデータ先端技術サイバーセキュリティインテリジェンスセンター設立目論見

    NTTデータ先端技術サイバーセキュリティインテリジェンスセンター設立目論見

  4. 一田和樹 サイバーブックレーダー「サイバー完全兵器」デービッド・サンガー著

    一田和樹 サイバーブックレーダー「サイバー完全兵器」デービッド・サンガー著

  5. 不正アクセスにより医師の氏名を騙るなりすましメールを送信(東京都保健医療公社 多摩北部医療センター)

    不正アクセスにより医師の氏名を騙るなりすましメールを送信(東京都保健医療公社 多摩北部医療センター)

  6. ファイルサーバがランサムウェア感染、一部は所外流出可能性も(権田総合法律事務所)

    ファイルサーバがランサムウェア感染、一部は所外流出可能性も(権田総合法律事務所)

  7. 顧客データ人質にされた独大手 SI 企業の攻防、攻撃者が本誌に語った言い分(The Register)

    顧客データ人質にされた独大手 SI 企業の攻防、攻撃者が本誌に語った言い分(The Register)

  8. 一次通過経験ゼロ、知人にすら読んでもらえないレベルの素人がサイバーセキュリティ小説コンテスト大賞受賞に至った経緯とは

    一次通過経験ゼロ、知人にすら読んでもらえないレベルの素人がサイバーセキュリティ小説コンテスト大賞受賞に至った経緯とは

  9. 国外から不正アクセス 個人情報削除、パスワードハッシュ化済も万全期し全件変更(愛媛CATV)

    国外から不正アクセス 個人情報削除、パスワードハッシュ化済も万全期し全件変更(愛媛CATV)

  10. もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)

    もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)

ランキングをもっと見る