昨日11月7日にDIGITAL STUDIOが公開したWordPress用携帯電話サイト公開プラグイン「WP MOBILE」に外部からの新規投稿を許す脆弱性があることがわかりました。
上記のページは、僕が投稿したものではありません。WP MOBILEの危険性テストのためにhiromasaさんにお願いして、外部からポストしてもらったものです。詳細は公開しませんが、WP MOBILEをアップロードするだけで特に設定を行わずとも、このような外部からの新規投稿が簡単なコードで実行できてしまいます。
作者のDIGITAL STUDIOにはhiromasaさんより連絡をしてもらっていますので、本件の脆弱性が修正されるまでWP MOBILEの利用を中止することをおすすめします。プラグインのファイルがサーバ上にあるだけで実行される恐れがあるので、サーバから該当ファイルを削除しておきましょう。
本件は未公開脆弱性のため、絶対に悪用しないでください。
hiromasaさん、kohakuさんご協力どうもありがとうございました。
4 個のコメント
予想していた事態が発生してしまいましたね。開発元の技術力が非常に不安だったのですが、さもありなんといったことでしょうか。正直なところ、対策版が出たとしても、使用しないのが無難だと思います
;-)
>yurikoさん
開発元のことはあまり知らないのですが、投稿するのに自サイトのxml-rpcが使えないのはあまりいけてないなと最初思っていました。ソースの内容はさらにやばかったのですが…。
申告を受けて修正に入ってくれたみたいなので、よりいいものを作ってくれることを期待ます。
開発元の技術力については、WordPress Japan フォーラムへの投稿内容を見てもらうと推測できたのですが、buy-link-wordpress-plugin の公開が終了されているので、もはや判断が困難ですね。ここは「ソースの内容はさらにやばかった」というところで判断していただければいいかと。
でも、「よりいいものを作ってくれることを期待」するのは同感です。いきなり脆弱性が見つかるというのは前途多難ですが……。
なるほど、企業といいつつ個人ベースなのかもしれないですね。
とりあえず今後はプラグインといってもソースを一通り見てから入れてみようとおもったいい機会になりました(苦笑)