100万以上のサイトにインストールされているWordPress All-In-One Security(AIOS)プラグインは、ユーザーのパスワードが平文形式でデータベースに追加される原因となるソフトウェアのバージョン5.1.9の「バグ」を検出したため、セキュリティアップデートを発行した。
この脆弱性により、サブスクライバーなどの最小限の権限を持つ認証された攻撃者が、PHP ファイルなどの任意のファイルをアップロードすることが可能になります。
「悪意のあるサイト管理者(つまり、すでに管理者としてサイトにログインしているユーザー)がそれらを読み取る可能性がある」と同社は述べている。
コメント