WP Slimstat プラグイン に深刻な脆弱性!!

カテゴリー : WordPress

投 稿 日 :

更 新 日 :

この記事は書いてから 約3年 経過しています。

※1年以上経過しているので情報が古い可能性があります。

タ  グ  :

WP Slimstat プラグイン に深刻な脆弱性!!

当サイトでは導入してませんが

WP Slimstat のバージョン3.9.5以前 を使用している人は、今すぐアップデートしてください。

今すぐです!

以下 ZDNet Japan 2015年02月26日より

脆弱性の影響を受けるのはWP Slimstatのバージョン3.9.5以前。最新版の3.9.6は影響を受けない。

 WP Slimstatは、サイト訪問者のコンピュータとの間で送受信されるデータに秘密鍵で署名する。しかしMontpas氏は、この秘密鍵がプラグインのインストールのタイムスタンプをハッシュ値に変換したものに過ぎないことを発見した。そのため、攻撃者はInternet Archiveなどのサイトを通じて、標的のサイトがインターネット上に初めて公開された西暦を特定するだけで、簡単に秘密鍵を解析できてしまうという。解析対象の値はおよそ3000万件に及ぶが、今日のコンピュータを使用すればものの10分足らずで処理できるとMontpas氏は述べている。

 秘密鍵を手に入れた攻撃者は、標的のサイトにSQLインジェクション攻撃を仕掛けることができる。攻撃が成功すると、データベースの制御を奪われ、ユーザー名やパスワードのハッシュ値などを窃取されるだけでなく、最悪の場合はサイトを完全に乗っ取られる可能性がある。

WordPressプラグイン「WP Slimstat」に深刻な脆弱性–100万以上のサイトに影響 – ZDNet Japan

WP Slimstat プラグイン に深刻な脆弱性!!」への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。

*