クイズと調査マスターのWordPressプラグインには重大な欠陥が含まれています - JA

  |  最後の更新:  |  2 コメントコメント  

このページで: [隠れる]

  1. クイズと調査マスタープラグインの欠陥が修正されました

クイズと調査マスターのWordPressプラグインには重大な欠陥が含まれています

さらに別の脆弱なプラグインが最近Wordfenceによって発見されました (反抗) チーム. クイズとサーベイマスターで2つのセキュリティ上の欠陥が明らかになりました (QSM) WordPressプラグインが 30,000 サイト.

クイズとサーベイマスターはウェブサイト用の使いやすいアドオンです. WordPressサイトのさまざまなクイズやアンケートを作成できます. このウェブサイトウィジェットは、投票やアンケートなどの他のインタラクティブなフォームの作成にも適しています. この Web サイト ツールの機能の 1 つにより、サイト所有者はクイズやアンケートの回答タイプとしてファイルのアップロードを実装できます。. この機能はさまざまなシナリオで役立つ可能性がありますが、ハッカーもその恩恵を受ける可能性があります。.

不運にも, Quiz and Survey Master WordPress プラグインのこの機能には 2 つのセキュリティ上の欠陥が含まれていることが確認されました。. 欠陥, 非常に重要であると評価された, could lead to remote code execution attacks where attackers upload arbitrary files or delete files from the targeted site, そのような wp-config.php. これらのアクションは、影響を受けるサイトをオフラインにしたり、それらを制御したりすることにつながる可能性があります.

クイズと調査マスタープラグインの欠陥が修正されました

幸運, 脆弱性の開示後, それらは修正されました:

最初は7月にプラグインのチームに連絡しました 17, 2020 彼らのサポートフォーラムを通じて、7月に再びフォローアップしました 21, 2020. 応答がないもう1週間後, ExpressTechに連絡しました, プラグインの親会社, 7月に 28, 2020 … 彼らは8月に返答した 1, 2020 正しい開示受信トレイを確認する, そして私たちは月曜日に完全な開示の詳細を送りました, 8月 3, 2020. パッチは数日後の8月にリリースされました 5, 2020, レポート 言う.

2つの脆弱性は、サイト所有者がクイズまたは調査の回答フォームとしてファイルのアップロードを実装できるようにするプラグインの機能にあります。. ウェブサイトに求職アンケートがあるとしましょう. この機能は、プロセスの最後にPDF履歴書または別の形式のファイルをアップロードするための理想的なソリューションです。.

研究者によって発見されたように, この機能は、アップロード中に「Content-Type」フィールドをチェックするだけでファイルタイプを確認するように設定されていたため、安全に実装されていませんでした. このチェックは、この機能を安全に実装するには不十分であるように見えました. つまり、簡単になりすまされる可能性があります. 例えば, ファイルアップロードステップを含むクイズが.txtファイルのみを受け入れるように構成されている場合, ハッカーは、実行可能なPHPファイルをテキストファイルとしてアップロードできます。これにより、プラグインのチェックをバイパスして、悪意のあるコードをWebサイトの所有者に正常に配信できます。.

幸運, 簡単に利用できるようにするには、機能を有効にしてクイズ用に構成する必要があります. したがって, パネルにインストールされているサイトのほとんどは、この特定の欠陥によって悪用される可能性は低いです。.

2番目の欠陥も重大としてフラグが立てられます. 攻撃者にサイトから任意のファイルを削除する機会を与える可能性があります. この脆弱性は、高レベルのアクセス許可アクセスを確立できるハッカーによって悪用される可能性があります. これらの欠陥は両方とも、攻撃者がWebサイト全体とホスティングの制御を乗っ取る可能性があります.

欠陥は、任意のファイルのアップロードとして説明されています. 指定されたCVEはまだありません, しかし、CVSSスコアは 10.00, これはクリティカルを意味します. したがって, クイズと調査マスターのWordPressプラグインのユーザーはバージョンに更新する必要があります 7.0.1 すぐに彼らのサイトが’ これらの欠陥を悪用しようとする攻撃から保護することができます.

ウェブサイトのセキュリティのために, WordPressサイト管理者は、信頼できるユーザーのみにサブスクライバーレベルよりも高いアクセスレベルを提供することを強くお勧めします. さらに, 攻撃者が侵入手段として使用できないように、これらのアカウントに強力なパスワードを設定することを忘れないでください.

今月上旬, ワードフェンス研究者 ニュースレタープラグインにいくつかの欠陥を発見 WordPress用. 欠陥の1つが最近修正されました, と他の2つ, より深刻だった. 後者の欠陥は、反映されたクロスサイトスクリプティングでした (XSS) バグとPHPオブジェクト注入の問題. 幸運, プラグインの作成者に連絡した後, 脆弱性は新しいプレスリリースですぐに対処されました.

調査・執筆者:
HowToHosting 編集者
HowToHosting.guideは、ブログやウェブサイトの作成プロセスに関する専門知識と洞察を提供します。, 適切なホスティングプロバイダーを見つける, そしてその間にあるすべてのもの. 続きを読む...

関連する記事はありません.

2 コメントコメント

  1. Melissa

    DO NOT TRUST QSM YOUVE BEEN WARNED. IT SAID 14 day trial and for a refund do I bought it. Had bad news was grieving so I tried it on dat 14. Hated it felt clunky, 使い方がわかりにくく、私が必要としていたものにはまったく適していません. その後、彼らは条件を変えてこう言いました 7 返金までに数日かかりますが、今は返金しません. 絶対に嫌だ. QSM を使用しないでください。警告されていますが、どこへでも移動します。. 返信にも時間がかかりすぎる. ただひどい. 今必要なものではない.

    返事
    1. HTH_Editors (投稿者)

      こんにちは、メリッサ,

      あなたの経験について聞いて申し訳ありません. ついに答えが出ましたか?

      返事

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

この Web サイトでは、ユーザー エクスペリエンスを向上させるために Cookie を使用しています. 当社のウェブサイトを使用することにより、当社の規定に従ってすべてのクッキーに同意したことになります プライバシーポリシー.
同意します
HowToHosting.Guideで, 私たちは透明性のあるウェブホスティングレビューを提供します, 外部の影響からの独立性を確保する. すべてのレビューに厳格で一貫した基準を適用するため、評価は公平です。.
紹介されている企業の一部からアフィリエイト手数料を得る場合がありますが、, これらの手数料はレビューの完全性を損なったり、ランキングに影響を与えることはありません.
アフィリエイトの収益はアカウント獲得のカバーに貢献します, 試験費用, メンテナンス, ウェブサイトや社内システムの開発.
信頼できるホスティングの洞察と誠実さのためにhowtohosting.guideを信頼してください.