WordPress Database Resetに危険な脆弱性、コンテンツをすべて削除されてしまう可能性も


公開日:
プラグイン名 WordPress Database Reset
影響を受けるバージョン <= 3.1
CVSSスコア 8.8(high)

WordPress Database Resetは、特定のテーブルなどをすべて削除し簡単にデフォルト状態に戻すことができます。

実運用で用いられることはまずありませんが、Web制作のシーンでは開発環境で投入したテストデータを本番移転前に削除するときなどに用いられています。

今回の脆弱性は、ユーザー権限がなくてもデータベースを削除できるというもので、コンテンツや設定情報、ユーザー情報などをすべて削除されてしまう可能性があります。

これはユーザー権限のチェック機能の問題です。

脆弱性を修正した3.15がリリースされていますので、急なアップデートが必要です。

また本番移転時はこうしたプラグインはアンインストールしておきましょう。

定期的なバックアップ取得がなされていない限り、こうしてデータベースが削除されてしまうと、復旧はほぼ不可能となります。

関連URL:

https://wordpress.org/plugins/wordpress-database-reset/
https://www.wordfence.com/blog/2020/01/easily-exploitable-vulnerabilities-patched-in-wp-database-reset-plugin/


カテゴリ:
タグ:



関連記事