2023年12月7日
Wordfenceのセキュリティサイトから、MW WP Form プラグインに重大なセキュリティ上の欠陥があり、バージョン 5.0.1 以前が影響を受けると発表されています。
この脆弱性により、潜在的に悪意のあるPHPバックドアを含む任意のファイルをアップロードすることで、プラグインを悪用し、これらのファイルをサーバー上で実行することが可能になります。
MW WP Formプラグインはショートコードビルダーを使ってWordPress ウェブサイトのフォーム作成を簡単にできるプラグインとして人気です。
MW WP Formの開発は脆弱性対応を除き停止しています。新しい機能が追加されたり、WordPress がアップデートするたびに動作確認をすることはありません。他のプラグインへの乗り換えをご検討ください。
ホーム
このプラグインを使えば、ユーザーは様々なフィールドやオプションを持つフォームを簡単に作成し、カスタマイズすることができる事が人気です。
このプラグインには多くの機能があり、データ収集の目的で [mwform_file name=”file”] ショートコードを使ってファイルをアップロードすることができます。
今回の脆弱性で悪用されるのは、この特定の機能。認証されていない任意のファイルアップロードの脆弱性
未認証とは、攻撃者がウェブサイトに登録する必要がないこと、あるいはユーザー権限レベルに付随するいかなる権限レベルも必要としないことを意味します。
弊社が構築しているサイトでは導入した事はありませんが、開発が中止されているフォームは別のフォームへとご変更ください。
リビジョン株式会社では、WordPressの構築や保守も行なっておりますので、お気軽にご相談ください
Webサイトリニューアルから新規ホームページ制作・運営・保守まで、目的達成を実現いたします。
各種Webサイト・ECサイト制作、広告代行に関するご相談、ご質問などお気軽にお問合せ下さい。
Tel : 03-5324-2318 / Email : info@reinc.jp