借りているレンタルプロバイダから、WordpressのプラグインであるWP GDPR ComplianceとAMP for WPに緊急性の高い脆弱性が見つかったので、使用している人は最新バージョン(対応版)にアップデートするようにという連絡が来た。悪意のある第三者が任意のWordPressアクションを実行し、
管理者権限のあるユーザーを追加する事が可能な脆弱性があるとのこと。
・WP GDPR Compliance (version 1.4.2以前は危険。version 1.4.3以降はOK)
・AMP for WP (version 0.9.97.19以前は危険。version 0.9.97.20以降はOK)
幸いなことに、コンサデコンサのサイトではこのプラグインは使っていない。なので、全く関係ないのだが、ネット上ではあちらこちらのサーバーで話題になっていて、注意喚起が出されている。そこで経緯を調べてみた。経緯が簡単に分かるのは、こちらの記事かな。
- XSS Injection Campaign Exploits WordPress AMP Plugin – Wordfence
- WordPressに対する攻撃が進行中–標的は「AMP for WP」プラグイン – ZDnet Japan