WordPressの「Popup Builder」プラグインにSQLインジェクション脆弱性。Webサイトへの影響と対策について (CVE-2022-0228)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年2月にWordPressの「Popup Builder」プラグインについて脆弱性(CVE-2022-0228)が発表されました。

悪用されるとデータベースに不正な操作が行われる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がHighとなっています。

https://nvd.nist.gov/vuln/detail/CVE-2022-0228

「Popup Builder」プラグインを利用しているサイトの管理者画面に不正アクセスをされた場合に、サーバーのデータベースに対して不正な操作が行われる可能性があります。

脆弱性の対象となるプラグインとバージョン

「Popup Builder」はWebサイトにさまざまなポップアップを実装するためのプラグインです。

今回の脆弱性の影響を受けるバージョンは下記の通りです。

Popup Builder 4.0.7未満

脆弱性の対策

対策としては、それぞれのプラグインを最新版にアップデートする形になります。WordPressのプラグイン画面から該当プラグインのアップデート有無を確認することをお勧めします。

Webサイトへの影響について

「Popup Builder」プラグインを利用しているサイトの管理者画面から細工されたリクエストを行うことでデータベースを不正に操作できてしまう可能性があります。

表側のサイトから直接攻撃される可能性は低く、本脆弱性単体での危険性はそこまで高くありませんが、特権昇格を引き起こすような別の脆弱性と組み合わさると危険度が増しますので、検証、メンテナンスが可能な時期を見計らってプラグインを更新しておくことをお勧めします。

さいごに

プラグインページを見る限り、2022年3月時点で「Popup Builder」プラグインを有効化しているサイトは20万件を超えています。

こうした人気のプラグインでも日々脆弱性が発見され、攻撃に悪用されるリスクがあるため、日々のセキュリティアップデートが重要になります。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード