【利用者必読】Advanced Custom Fieldsに脆弱性

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

こんにちは、WPホームページ研究所の運営サポートチーム(@WP_LABO)です。

プラグイン「Advanced Custom Fields」に認証欠如の脆弱性が発見されました。特に外部から乗っ取られるといった内容ではなくデータベース上でアクセス権限のないデータを閲覧される可能性があります。

【利用者必読】Advanced Custom Fieldsに脆弱性

ちなみに有料版「Advanced Custom Fields Pro」も同様の脆弱性が含まれています。

データが閲覧できる条件

編集者・寄稿者・投稿者が権限を持っていないデータベースにアクセス可能です。

・Advanced Custom Fields(Proも含む)の5.12.1より古いバージョン

現状の最新バージョンは「5.12.2」。

公開されているバージョン

ちなみに「5.12.1」も対策済み。

5.12以下は要アップデート

もし導入しているプラグインが5.12以下の場合は更新が必要です。

まとめ

本日は「Advanced Custom Fieldsに潜んでいる脆弱性」を解説いたしました。

もし「Advanced Custom Fields」プラグインを使って会員サイトを運営していると投稿者が管理者権限のファイルを閲覧できる可能性があるので要注意ですね。参加ユーザーがコンテンツを作成できるような会員サイトを運営している場合は導入しているプラグインバージョンを確認しましょう。

そのままアップデートするとウェブサイトの会員機能が壊れる可能性もあるのでバックアップしてからテストを繰り返しましょう。お近くにエンジニアがいらっしゃれば相談してみることをおすすめいたします。

最新式の無料プラグインを事前公開

WordPressは公式サイトに登録済みのプラグインだけで全機能を補足しきれません。当サイトでは使いやすさを追求した魅惑的なプラグインを無料でダウンロードいただけます。運営ホームページのマーケティング力をさらに高めるチャンスです。まずは無料でDLしてお試しくださいませ。
改良されたプラグインを確認する

ワードプレス専門家に丸投げする

WPホームページ研究所はワードプレスを中心としたブログ作成・ホームページ制作・オウンドメディア構築・プラグイン設定・調整など幅広いカスタマイズに対応しております。 記事の掲載情報だけでなくお好みの機能をいただければ専属スタッフが心を込めて真摯に対応させていただきます。お気軽にお問い合わせください。

お問い合わせの種類をお選びください(もっとも近い項目)

法人の場合は法人名とご担当者のお名前をご入力ください

返信時のご連絡に利用するメールアドレスをご入力ください

運営中のウェブサイトURLがあればご入力ください

お困りの内容があれば詳しい内容をお聞かせください

💻ウェブサイト運営でお困りの方へ

⇒ WordPressの設定ミスを即日で解決  安心の定額サポート