こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年2月にWordPressの「Popup Builder」プラグインについて脆弱性(CVE-2022-0228)が発表されました。
悪用されるとデータベースに不正な操作が行われる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がHighとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-0228
「Popup Builder」プラグインを利用しているサイトの管理者画面に不正アクセスをされた場合に、サーバーのデータベースに対して不正な操作が行われる可能性があります。
脆弱性の対象となるプラグインとバージョン
「Popup Builder」はWebサイトにさまざまなポップアップを実装するためのプラグインです。
今回の脆弱性の影響を受けるバージョンは下記の通りです。
Popup Builder 4.0.7未満
脆弱性の対策
対策としては、それぞれのプラグインを最新版にアップデートする形になります。WordPressのプラグイン画面から該当プラグインのアップデート有無を確認することをお勧めします。
Webサイトへの影響について
「Popup Builder」プラグインを利用しているサイトの管理者画面から細工されたリクエストを行うことでデータベースを不正に操作できてしまう可能性があります。
表側のサイトから直接攻撃される可能性は低く、本脆弱性単体での危険性はそこまで高くありませんが、特権昇格を引き起こすような別の脆弱性と組み合わさると危険度が増しますので、検証、メンテナンスが可能な時期を見計らってプラグインを更新しておくことをお勧めします。
さいごに
プラグインページを見る限り、2022年3月時点で「Popup Builder」プラグインを有効化しているサイトは20万件を超えています。
こうした人気のプラグインでも日々脆弱性が発見され、攻撃に悪用されるリスクがあるため、日々のセキュリティアップデートが重要になります。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
