「WordPress」のプラグイン「Contact Form 7」に脆弱性が見つかりました
ホームページに組み込むCMSではよく利用されている「WordPress」に組み込むプラグインで、「Contact Form 7」というお問い合わせフォームに使われるプラグインに、無制限にファイルをアップロードできる脆弱性が見つかったようです。
悪用されるとバックドアを仕込まれるリスクがあります。
■脆弱性が存在するとされるプロダクトおよびバージョン
Contact Form 7 5.3.1およびこれよりも古いバージョン
■脆弱性が修正されたプロダクトおよびバージョン
Contact Form 7 5.3.2
このプラグインの脆弱性を悪用すれば、攻撃者はアップロード可能なファイル種類の制限を迂回(うかい)して任意のファイルを無制限にアップロードできるようになるようです。
アップロードできるファイルにはWebShellのような攻撃のためのファイルも含まれるため、最悪の場合、サイトにバックドアを仕掛けられる可能性があります。
「WordPress」に代わるCMS 「a-blog cms」
WordPressは、無料のCMSだけあって世界中でよく使われていますし、カスタマイズしやすいように多数のプラグインも出ています。
それだけに、WordPress本体も世界中から狙われやすく、組み込みんでいるプラグインの脆弱性を突かれて狙われるケースも多数あります。
また、WordPressのプラグインで取り付けた問い合わせフォームは、海外からのSPAMメールが多く届くこともあり、ホームページによっては海外からのアクセスをブロックする対策をとらざるおえないホームページも増えています。
それに対して、名古屋のアップルップル社が開発した国産のCMS 「a-blog cms」は、セキュリティにも強く、かつお問い合わせフォームは基本のシステムに組み込まれています。(そもそもプラグインという概念はありません)
当社はこの「a-blog cms」のビジネスパートナーとなっており、このCMSをホームページに実装した実績も豊富です。
「WordPress」ではないCMSをホームページに実装したいという方は、当社までご連絡ください。
>> お問い合わせフォームはこちら
