◆概要
2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WordPress を稼働している Web サーバの実行ユーザの権限で侵入されてしまいます。アップデートにより早急に対策してください。
◆分析者コメント
脆弱性は 1 回のリクエストにより容易に悪用可能なものであり、すでに世界中の当該プラグインを用いている WordPress の Web サイトでの被害が拡大しています(関連情報 [2])。日本でも、JPCERT/CC などから注意喚起が公開される(関連情報 [3])ほどに影響度が大きいと判断されている脆弱性であるため、アップデートによる早急な対策が必要です。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-25213&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
File Manager のバージョン 6.9 未満が当該脆弱性の影響を受けると報告されています。
◆解説
世界的に普及している CMS ソフトウェアである WordPress のプラグインである File Manager に、認証無しに遠隔から任意のファイルがアップロードが可能となる脆弱性が報告されています。
2020 年 8 月に、WordPress のプラグインである File Manager に、遠隔から任意のファイルがアップロード可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、WordPress を稼働している Web サーバの実行ユーザの権限で侵入されてしまいます。アップデートにより早急に対策してください。
◆分析者コメント
脆弱性は 1 回のリクエストにより容易に悪用可能なものであり、すでに世界中の当該プラグインを用いている WordPress の Web サイトでの被害が拡大しています(関連情報 [2])。日本でも、JPCERT/CC などから注意喚起が公開される(関連情報 [3])ほどに影響度が大きいと判断されている脆弱性であるため、アップデートによる早急な対策が必要です。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-25213&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
File Manager のバージョン 6.9 未満が当該脆弱性の影響を受けると報告されています。
◆解説
世界的に普及している CMS ソフトウェアである WordPress のプラグインである File Manager に、認証無しに遠隔から任意のファイルがアップロードが可能となる脆弱性が報告されています。
