借りているレンタルプロバイダから、WordpressのプラグインであるWP Super CacheとW3TC Total Cacheに致命的な脆弱性が見つかったので、使用している人は最新バージョン(対応版)にアップデートするようにという連絡が来た。該当プラグインによるキャッシュが有効な場合、第三者に任意のコードを実行される恐れがあるとのこと。
・WP Super Cache (version 1.2 以下は危険。version 1.3.x 以上はOK)
・W3 Total Cache (version 0.9.2.8 以下は危険。version 0.9.2.9 以上はOK)
幸いなことに、コンサデコンサのサイトではこのプラグインは使っていない。なので、全く関係ないのだが、ネット上ではあちらこちらのサーバーで話題になっていて、注意喚起が出されている。そこで経緯を調べてみた。経緯が簡単に分かるのは、こちらの記事かな。
- Update WP Super Cache and W3TC Immediately – Remote Code Execution Vulnerability Disclosed – SUCURI blog
WordPress forumsに、kisscsabyというユーザーが、最初に指摘したのが、ことの始まり。そのフォーラムのツリーは下記のもの。
- WP Super Cache – WordPress forums
途中から、WP Super Cacheの作者も参加して話が進み、即座にセキュリティホールにバッチが当てられた。
どういった脆弱性だったかは、以下のサイトにまとめられている。
- WP Caching plugin vulnerability debrief – Frank Goosens’ blog
- WordPress Caching Plugins Remote PHP Code Execution – Acunetix’s blog