Malwarebytesが同社のブログで「WordPress」のページビルダープラグイン「Modern WPBakery」に深刻な脆弱性(CVE-2021-24284)が見つかったと報じています。
「Modern WPBakery」はページビルダーアドオンで、このプラグインには「CVE-2021-24284」として知られる脆弱性があり、「’uploadFontIcon’ AJAX アクションを介して認証なしに任意のファイルのアップロード」を可能にします。つまり、攻撃者が不正な PHP ファイルを WordPress サイトにアップロードし、リモートでのコード実行やサイトの完全な乗っ取りを引き起こす可能性があるということです。また、この脆弱性への攻撃が急増していることも報告されており、速やかな対処が重要です。
既に「Modern WPBakery」のサポートは終了しており、この脆弱性への対処も見込めないため、現在利用中のWordPressユーザーは早急にプラグインをアンインストールしておきましょう。
コメント