知って得するセキュリティのはなし その93
WordPress人気プラグイン「Contact Form 7」に脆弱性、有害ファイルアップロードによる攻撃の可能性も?
1.このニュースをざっくり言うと
- 12月17日(日本時間)、WordPressにおいてお問合せフォーム機能を提供するプラグイン「Contact Form 7」においてファイルのアップロード機能に関する脆弱性が報告されています。
- 開発者からのリリースによれば、脆弱性の悪用により、理論上は「ホストサーバー上でスクリプトファイルとして実行される可能性のあるファイルをアップロードできるように」なるとされています。
- 既に脆弱性を修正したバージョン5.3.2がリリースされており、使用しているサイトの管理者に対しアップデートが呼びかけられています。
2.執筆者からの所感等
- 開発者のブログ( https://ideasilo.wordpress.com/2020/12/19/professional-work/ )において紹介されている、WordPressのセキュリティプラグイン「Wordfence」の開発元が行った検証によれば、当該プラグインにおける複数の被害軽減策により、脆弱性を実際に悪用することは困難とされている模様です(例えば、ファイルが実際にアップロードされるのは極めて短時間、かつランダムな名前の一時ディレクトリ下に配置されるとのことです)。
- Webサーバーの設定を安全なものにする(例えばディレクトリリストを表示する機能を無効化する等)ことにより、今回のケース以外でも脆弱性の悪用を困難にする場面が出てくると思われます(ただし著名なWebサーバーでも、例えばApacheとnginxで設定方法が異なり、「.htaccess」ファイルによるディレクトリ毎の設定はApacheでしか使えないこと等に注意が必要です)。
- ともあれ、WordPressは本体や人気のあるプラグインに脆弱性が報告され、アップデートが推奨されるケースが多くあり、例えば9月にも「File Manager」に脆弱性が報告されたことがあります(AUS便り 2020/09/14号参照)ので、最初にサイトを構築してから放置することは決してせず、管理画面から随時アップデートを行う体制を整えることが肝要であり、加えて様々な攻撃への防御のために、セキュリティ関連のプラグインあるいはWordPressに特化したWAFを導入すること等も是非とも検討すべきでしょう。