Published: 2024-02-28 08:00
TDU学生、WordPress 用プラグインの脆弱性発見 ~ 広い影響範囲
東京電機大学(TDU)は2月26日、同学情報通信工学科の学生がWordPress用プラグインFile Managerの脆弱性を発見したと発表した。100万以上のサイトに影響がある重要な脆弱性としている。
同脆弱性を発見したのは、情報通信工学科の春間祐希氏。脆弱性(CVE-2024-0761)は、WordPress用プラグインFile Managerのバージョン7.2.1以前に存在するもの。CVSS 3.1における基本値は8.1で深刻度レベルは「重要」とされている。
この脆弱性は、タイムスタンプと4つのランダムな数字を使用するバックアップ ファイル名のアルゴリズムにおけるランダム性が不十分なため、攻撃者は.vmファイルがない構成でもバックアップ ファイルにアクセスできる可能性がある。これにより、バックアップを含む機密情報を奪取される可能性がある。
この脆弱性を解消するパッチ適用済みのバージョン「7.2.2」が公開されている。
| # | 言葉 | 意味 |
|---|---|---|
| 6 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 情報通信 | じょうほうつうしん (情報通信) : telecommunications |
| 2 | 工学科 | こうがくか (工学科) : engineering department |
| 2 | 発見 | はっけん (発見) : discovery; detection; finding |
| 2 | 重要 | じゅうよう (重要) : important; momentous; essential; principal; major |
| 2 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 2 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 東京電機大学 | とうきょうでんきだいがく (東京電機大学) : Tokyo Denki University (organization) |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 1 | 春間 | はるま (春間) : Haruma (surname) |
| 1 | 祐希 | ゆうき (祐希) : Yuuki (fem; surname) |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 以前 | いぜん (以前) : ago; since; before; previous |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 基本 | きほん (基本) : basics; fundamentals; basis; foundation |
| 1 | 値 | あたい (値) : 1. price; cost 2. value; worth; merit |
| 1 | 深刻 | しんこく (深刻) : serious; severe; grave; acute |
| 1 | 数字 | すうじ (数字) : numeral; figure; digit; numeric character |
| 1 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 1 | ファイル名 | ファイルめい (ファイル名) : file-name |
| 1 | 性 | さが (性) : 1. one's nature; one's destiny 2. custom; tradition; habit; convention |
| 1 | 不十分 | ふじゅうぶん (不十分) : insufficient; inadequate; imperfect |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 構成 | こうせい (構成) : composition; construction; formation; makeup; structure; organization; organisation |
| 1 | 含む | ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth |
| 1 | 機密情報 | きみつじょうほう (機密情報) : confidential information |
| 1 | 奪取 | だっしゅ (奪取) : usurpation; taking back; dispossession |
| 1 | 解消 | かいしょう (解消) : cancellation; liquidation; resolution; reduction (e.g. of stress) |
| 1 | 適用 | てきよう (適用) : applying (e.g. a technology); adoption |
| 1 | 済み | ずみ (済み) : arranged; taken care of; settled; completed; finished |
| 1 | 公開 | こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public |