WordPressプラグイン「The Photo Gallery」の脆弱性。Webサイトのリスクと対策について(CVE-2021-24291)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年1月28日に、WordPressのプラグイン「The Photo Gallery」に、複数のクロスサイトスクリプティングの脆弱性があることが報告されました。

https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-007000.html

これらの脆弱性の原因は、画像編集ページなどでのユーザー入力の不適切な処理が原因です。

WordPressの脆弱性をついた攻撃について

該当のプラグインを有効にしている場合、情報を取得される場合や情報を改ざんされる可能性があります。WordPress本体が攻撃されるとリモートでの改ざんが可能になり、サイトからの情報をリモートで不正取得されることがあります。

共通脆弱性評価システム(CVSS)での基本評価では、安全性への影響が部分的で、攻撃の複雑さは中程度になっています。

https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-007000.html

対象のプラグインとバージョン

2022年1月28日に報告された脆弱性の影響を受ける対象のプラグインは、TenWeb, Inc.の「The Photo Gallery」の1.5.69未満のバージョンです。

下記が対象プラグインの公式ページです。

脆弱性への対策方法

脆弱性への対策は以下の方法が有効です。

・プラグインを最新バージョンにアップデートする
・WordPressを常に最新バージョンに保つ
・webサイトのログインURLを変更する
・脆弱性診断サービスを定期的に利用する

上記に示した対策方法の中で、最も有効なのが最新バージョンにアップデートする方法です。WordPressは脆弱性を解消するために、定期的にアップデートされているため、常に最新バージョンにしておくことで、脆弱性への対策が可能になります。

まとめ

使いやすくサイトを作成するツールとして人気のWordPressですが、脆弱性というデメリットがあります。脆弱性への対策をしなければ、不正ログインなどによる攻撃を受け、大切な情報を改ざんされてしまう危険性があります。より安全にwebサイトを利用するためには、常に最新バージョンに保っておくことが最も有効な対策といえます。

弊社では日々WordPressおよびプラグインのセキュリティ情報をチェックしており、お客様のサーバーで利用しているプラグインについては検証、本番それぞれの環境でアップデートを代行可能です。

リリース後のWordPressサイトのセキュリティ情報のチェックが追いつかない場合はぜひご相談くださいませ。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード