WordPress のプラグイン File Manager の検証不備に起因する遠隔から任意のファイルアップロードが可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2021.01.25(月)

WordPress のプラグイン File Manager の検証不備に起因する遠隔から任意のファイルアップロードが可能となる脆弱性(Scan Tech Report)

2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
https://wordpress.org/
https://wordpress.org/ 全 1 枚 拡大写真
◆概要
2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WordPress を稼働している Web サーバの実行ユーザの権限で侵入されてしまいます。アップデートにより早急に対策してください。

◆分析者コメント
脆弱性は 1 回のリクエストにより容易に悪用可能なものであり、すでに世界中の当該プラグインを用いている WordPress の Web サイトでの被害が拡大しています(関連情報 [2])。日本でも、JPCERT/CC などから注意喚起が公開される(関連情報 [3])ほどに影響度が大きいと判断されている脆弱性であるため、アップデートによる早急な対策が必要です。

◆深刻度(CVSS)
[CVSS v3.1]
9.8

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-25213&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
File Manager のバージョン 6.9 未満が当該脆弱性の影響を受けると報告されています。

◆解説
世界的に普及している CMS ソフトウェアである WordPress のプラグインである File Manager に、認証無しに遠隔から任意のファイルがアップロードが可能となる脆弱性が報告されています。

《株式会社ラック デジタルペンテストサービス部》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

    VPN製品に関する脆弱性対策情報の深刻度別割合、「危険」「警告」で95%を占める

  2. 先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

    先端セキュリティ企業は互いをどう評価したか、ゼロトラストネットワーク 4 つの条件

  3. 仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

    仮想通貨取引所「Liquid」への不正アクセス最終報、APIキー等169,782件の流出を確認

  4. 我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

    我が社の IoT 活用の課題 総洗い出し ~ JSSEC IoT セキュリティチェックシート活用方法

  5. Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

    Bugtraq の死と復活、歴史あるコミュニティにアクセンチュアがとった処遇

  6. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

    売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  7. CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )

    CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )

  8. イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

    イエラエセキュリティ CSIRT支援室 第4回「ツール 運用 組織体制 コスト - 経営バランスの中で実現するセキュリティの難しさ」

  9. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

  10. カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報

    カスペルスキーがインテリジェンスサービス拡充、APT や ICS 情報

ランキングをもっと見る