WordPressプラグイン「Fancy Product Designer」に深刻なゼロデイ脆弱性が発見
最終更新日:
WordPressのプラグインである「Fancy Product Designer」に深刻なゼロデイ脆弱性が発見されました。脆弱性を悪用した攻撃を受ける可能性があります。影響を受けるバージョンや解決方法をご紹介します。
Fancy Product Designerとは?
Fancy Product Designerとは、ユーザーがあらゆる種類の製品をデザインし、カスタマイズできるプラグインです。
商品画像やPDFファイルをアップロードすることも可能です。
17,000以上のWordPressにインストールされていると推測されています。
脆弱性の内容
悪意のあるPHPファイルをアップロードできてしまう脆弱性があります。攻撃者はリモートからコードの実行が可能になり、サイト全体を乗っ取ることもできます。
主にEコマースサイトを標的にしており、注文情報を抽出しようとしているようです。
「wp-admin」もしくは「wp-content/plugins/fancy-product-designer/inc」配下の日付別のディレクトリに多数のファイルがある場合、攻撃を受けている可能性があります。
影響を受けるバージョン
Fancy Product Designer 4.6.8 以前のすべてのバージョン
脆弱性の深刻度
脆弱性の深刻度は緊急(Critical)に分類されており、プラグインを無効にしても影響を受けるとされます。
解決方法
2021年6月2日、この脆弱性を修正したバージョン4.6.9が公開されています。
Fancy Product Designerを有効化している場合、対応方法として次の通りです。
- 最新版の4.6.9に更新する
- 不要な場合はプラグインを完全に削除する