こんにちは、WPホームページ研究所の運営サポートチーム(@WP_LABO)です。
プラグイン「Advanced Custom Fields」に認証欠如の脆弱性が発見されました。特に外部から乗っ取られるといった内容ではなくデータベース上でアクセス権限のないデータを閲覧される可能性があります。
【利用者必読】Advanced Custom Fieldsに脆弱性
ちなみに有料版「Advanced Custom Fields Pro」も同様の脆弱性が含まれています。
データが閲覧できる条件
編集者・寄稿者・投稿者が権限を持っていないデータベースにアクセス可能です。
・Advanced Custom Fields(Proも含む)の5.12.1より古いバージョン
現状の最新バージョンは「5.12.2」。
公開されているバージョン
ちなみに「5.12.1」も対策済み。
5.12以下は要アップデート
もし導入しているプラグインが5.12以下の場合は更新が必要です。
まとめ
本日は「Advanced Custom Fieldsに潜んでいる脆弱性」を解説いたしました。
もし「Advanced Custom Fields」プラグインを使って会員サイトを運営していると投稿者が管理者権限のファイルを閲覧できる可能性があるので要注意ですね。参加ユーザーがコンテンツを作成できるような会員サイトを運営している場合は導入しているプラグインバージョンを確認しましょう。
そのままアップデートするとウェブサイトの会員機能が壊れる可能性もあるのでバックアップしてからテストを繰り返しましょう。お近くにエンジニアがいらっしゃれば相談してみることをおすすめいたします。
最新式の無料プラグインを事前公開
WordPressは公式サイトに登録済みのプラグインだけで全機能を補足しきれません。当サイトでは使いやすさを追求した魅惑的なプラグインを無料でダウンロードいただけます。運営ホームページのマーケティング力をさらに高めるチャンスです。まずは無料でDLしてお試しくださいませ。
→ 改良されたプラグインを確認する