Home » » 30万以上のサイトで使用されているWordPressプラグインがSQLインジェクション攻撃に対して脆弱

30万以上のサイトで使用されているWordPressプラグインがSQLインジェクション攻撃に対して脆弱

30万以上のサイトで使用されているWordPressプラグインがSQLインジェクション攻撃に対して脆弱

このバグは、サイト管理者がサイト上のオンライン ユーザー数、訪問者数、訪問者数、サイト統計に関する詳細情報を取得できる非常に人気のあるプラグイン WP Statistics で発見されました。

Sucuri チームによって発見された WP Statistics プラグインには SQL インジェクションの脆弱性があり、リモートの攻撃者が 1 つの登録アカウントを使用するだけで、データベースの Web サイト データから機密情報を盗み、Web サイトにアクセスできるようになります。

SQL インジェクションは、ハッカーが SQL (構造化照会言語) コードを Web 入力データに挿入して主要なデータベースの構造と場所を特定し、最終的にそこから情報を盗むことを可能にする Web アプリケーション エラーです。

30万以上のサイトで使用されているWordPressプラグインがSQLインジェクション攻撃に対して脆弱
SQL インジェクションの脆弱性は、wp_statistics_searchengine_query() などの複数の関数に存在する可能性があります。

「この脆弱性は、ユーザーが提供するデータを制御できないことが原因です。wpstatistics ショートコードの一部のプロパティは、重要な関数のパラメータとして認識されずに無視されました」と研究者らは述べています。「脆弱な関数の 1 つは、includes/functions/functions.php ファイル内の wp_statistics_searchengine_query() 検索クエリで、wp_ajax_parse_media_shortcode() のおかげで WordPress AJAX 経由でアクセスされます。」

この関数は、Web サイト訪問者がショートコードを実行して属性に悪意のあるコードを挿入することを可能にする追加の権限をチェックしません。Sucuri の研究者はこのバグを WP Statistics チームに報告し、チームは最新バージョン 12.0.8 の脆弱性にパッチを当てました。したがって、脆弱なバージョンを使用していて、Web サイトでユーザー登録が許可されている場合は、すぐに最新バージョンをインストールしてください。

Tags: #Microsoft Word

Word 2016 完全ガイド (パート 27): スタイルの使い方

Word 2016 完全ガイド (パート 27): スタイルの使い方

ドキュメントに白黒の書式設定を適用したいですか? Wordに設定されている線(シンプル)スタイルを試してみたい。以下の手順が役に立ちます。

Word 2016 完全ガイド (パート 26): SmartArt グラフィックの作成

Word 2016 完全ガイド (パート 26): SmartArt グラフィックの作成

SmartArt を使用すると、テキストだけを使用するのではなく、グラフィックで情報を伝えることができます。以下に Word 2016 で SmartArt グラフィックを作成するチュートリアルを示します。ぜひ参考にしてください。

Word 2016 完全ガイド (パート 25): Word 文書を確認して保護する方法

Word 2016 完全ガイド (パート 25): Word 文書を確認して保護する方法

Word 文書を共有するときは、機密の個人情報を含めたくない、または文書ファイルを他の人に編集させたくないでしょう。幸いなことに、Word 2016 には文書のチェックと保護に役立つ機能が統合されています。詳しいやり方は以下の記事をご覧ください。

Word 2016 完全ガイド (パート 24): 変更履歴とコメントの使用方法

Word 2016 完全ガイド (パート 24): 変更履歴とコメントの使用方法

誰かに紙の文書のチェックや編集を頼まれた場合、赤ペンを使ってスペルミスの単語を強調表示し、その横にコメントを追加する必要があります。ただし、Word 文書の場合は、変更の追跡機能とコメント機能を使用してこれを行うことができます。今日は、LuckyTemplates が Word 2016 でこれら 2 つの機能を使用する方法を説明します。

Microsoft は LinkedIn と Word を統合し、求人応募書類の作成を容易にします

Microsoft は LinkedIn と Word を統合し、求人応募書類の作成を容易にします

昨年、MicrosoftはLinkedInを260億ドルで買収し、この求職ソーシャルネットワークとOfficeスイートを組み合わせると約束した。そしてその結果がここにあります。

Word 2013 完全ガイド (パート 18): テキスト ボックスとワードアートを挿入する方法

Word 2013 完全ガイド (パート 18): テキスト ボックスとワードアートを挿入する方法

テキスト ボックス テキスト ボックスは、特定のテキストに読者の注意を引くのに役立ちます。Word 2013でテキストボックスとワードアートを挿入する方法を参考にしてください!

Word 2013 完全ガイド (パート 17): 図面と図面の効果を作成する方法

Word 2013 完全ガイド (パート 17): 図面と図面の効果を作成する方法

矢印、吹き出し/ダイアログ、四角形、星形、グラフの形状など、さまざまな図形をドキュメント テキストに追加できます。Word 2013での図面や図面の効果の作り方を参考にしてください!

Word 2013 完全ガイド (パート 16): 画像形式

Word 2013 完全ガイド (パート 16): 画像形式

Word で画像を書式設定することは難しくありません。ピクチャースタイルを楕円形などにフォーマットできます。Word で画像の書式を設定する場合に知っておくべきことは次のとおりです。

Word 2016 完全ガイド (パート 23): スペルと文法をチェックする方法

Word 2016 完全ガイド (パート 23): スペルと文法をチェックする方法

Word を使用するたびに、入力ミスや誤った文法での文章作成 (英語またはその他の言語を使用している場合) を心配することがよくありますが、Word には文法やスペル チェッカーなどの多くのチェック機能が用意されているため、心配する必要はありません。プロフェッショナルでエラーのない文書を作成できます。

GoogleスプレッドシートでIMPORTXMLを使用する方法

GoogleスプレッドシートでIMPORTXMLを使用する方法

IMPORTXML は、Google スプレッドシートの便利なデータ処理関数です。以下は、IMPORTXML を使用して Google スプレッドシートでのデータ インポート プロセスを自動化する方法です。