WordPressプラグイン「Fancy Product Designer」に深刻なゼロデイ脆弱性が発見

最終更新日:

WordPressのプラグインである「Fancy Product Designer」に深刻なゼロデイ脆弱性が発見されました。脆弱性を悪用した攻撃を受ける可能性があります。影響を受けるバージョンや解決方法をご紹介します。

Fancy Product Designerとは?

Fancy Product Designerとは、ユーザーがあらゆる種類の製品をデザインし、カスタマイズできるプラグインです。

Fancy Product Designer

商品画像やPDFファイルをアップロードすることも可能です。

17,000以上のWordPressにインストールされていると推測されています。

脆弱性の内容

悪意のあるPHPファイルをアップロードできてしまう脆弱性があります。攻撃者はリモートからコードの実行が可能になり、サイト全体を乗っ取ることもできます。

主にEコマースサイトを標的にしており、注文情報を抽出しようとしているようです。

「wp-admin」もしくは「wp-content/plugins/fancy-product-designer/inc」配下の日付別のディレクトリに多数のファイルがある場合、攻撃を受けている可能性があります。

影響を受けるバージョン

Fancy Product Designer 4.6.8 以前のすべてのバージョン

脆弱性の深刻度

脆弱性の深刻度は緊急(Critical)に分類されており、プラグインを無効にしても影響を受けるとされます。

解決方法

2021年6月2日、この脆弱性を修正したバージョン4.6.9が公開されています。

Fancy Product Designerを有効化している場合、対応方法として次の通りです。

go to top