【報告】WordPressの複数のプラグインに存在する脆弱性を利用した攻撃について(影響なし)。

2022/12/30 ロシアのアンチウイルスソフトを提供するDoctorWebから悪意のあるLinuxプログラムを発見したと記事が掲載されました。同事案についてご報告です。

現在、同記事内に掲載されたプラグイン名に該当するプラグインを利用したサイトはございません。そのため保守を行っているサイトへの影響はございません。

プラグインを導入は、DL数、最終アップデート日付、ディベロッパーの信用度(リリースしているプラグインの数やプラグインの評価) などから精査し、慎重に行ってください。

保守を担当させていただいておりますお客様のサイトにつきましては、導入時にご相談いただきましたら私が精査の上、問題が起こりそうなアプリケーションにつきましては、代替案をご提案させていただきます。

お気軽にご連絡ください。

作業内容

なし

※上記の通り影響はございませんので、対象のクライアント様個別へのご案内は行っておりません。

脆弱性内容

サイトに悪意のある JavaScript が挿入され、任意の領域をクリックすると、他のサイトにリダイレクトされます。

脆弱性の確認されたプラグイン一覧

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

■参考サイト
https://news.drweb.com/show/?i=14646&lng=en&c=23
https://www.itmedia.co.jp/news/articles/2301/10/news040.html

エラーやバグ等の報告/相談窓口

保守を対応させていただいているクライアント様からのエラーやバグ等についてのご相談は、各サポートチャットやメールアドレスからお願いいたします。

その他、サイト保守やサポートなどをご検討されている方は、下記のお問い合わせフォームからお気軽にご連絡ください。