WordPressのプラグイン「WP Mobile Detector」の脆弱性を突いた攻撃を確認し、アップデートを公開
WordPressのプラグイン「WP Mobile Detector」にゼロデイ脆弱性が発見され、この脆弱性を突いた攻撃がPlugin Vulnerabilitiesの研究者らによって確認された。5月頃からポルノスパムの感染被害が急増していたことから調査を行ったところ、被害を受けたサイトはいずれもWP Mobile Detectorを使用していたことから脆弱性の存在が発覚。このプラグインは1万以上のウェブサイトで使用されている。この脆弱性が悪用されると、allow_url_fopenオプションが有効化されている場合に、簡単なPOSTリクエスト送信によりリモートで任意の不正ファイルがウェブサイトにアップロードされ、バックドアとして機能する恐れがある。ただし、デフォルトでは無効化されている。この脆弱性に対応したWP Mobile Detector version 3.7が公開されており、早急にアップデートするよう推奨している。
