クイズと調査マスターのWordPressプラグインには重大な欠陥が含まれています - JA

クイズと調査マスターのWordPressプラグインには重大な欠陥が含まれています

さらに別の脆弱なプラグインが最近Wordfenceによって発見されました (反抗) チーム. クイズとサーベイマスターで2つのセキュリティ上の欠陥が明らかになりました (QSM) WordPressプラグインが 30,000 サイト.

クイズとサーベイマスターはウェブサイト用の使いやすいアドオンです. WordPressサイトのさまざまなクイズやアンケートを作成できます. このウェブサイトウィジェットは、投票やアンケートなどの他のインタラクティブなフォームの作成にも適しています. One of the features of this website tool allows site owners to implement file uploads as a response type for their quiz or survey. This feature could be useful in a number of scenarios but hackers could benefit from it as well.

不運にも, this feature of the Quiz and Survey Master WordPress plugin was identified to contain two security flaws. 欠陥, rated as highly critical, could lead to remote code execution attacks where attackers upload arbitrary files or delete files from the targeted site, そのような wp-config.php. これらのアクションは、影響を受けるサイトをオフラインにしたり、それらを制御したりすることにつながる可能性があります.

クイズと調査マスタープラグインの欠陥が修正されました

幸運, 脆弱性の開示後, それらは修正されました:

最初は7月にプラグインのチームに連絡しました 17, 2020 彼らのサポートフォーラムを通じて、7月に再びフォローアップしました 21, 2020. 応答がないもう1週間後, ExpressTechに連絡しました, プラグインの親会社, 7月に 28, 2020 … 彼らは8月に返答した 1, 2020 正しい開示受信トレイを確認する, そして私たちは月曜日に完全な開示の詳細を送りました, 8月 3, 2020. パッチは数日後の8月にリリースされました 5, 2020, レポート 言う.

2つの脆弱性は、サイト所有者がクイズまたは調査の回答フォームとしてファイルのアップロードを実装できるようにするプラグインの機能にあります。. ウェブサイトに求職アンケートがあるとしましょう. この機能は、プロセスの最後にPDF履歴書または別の形式のファイルをアップロードするための理想的なソリューションです。.

研究者によって発見されたように, この機能は、アップロード中に「Content-Type」フィールドをチェックするだけでファイルタイプを確認するように設定されていたため、安全に実装されていませんでした. このチェックは、この機能を安全に実装するには不十分であるように見えました. つまり、簡単になりすまされる可能性があります. 例えば, ファイルアップロードステップを含むクイズが.txtファイルのみを受け入れるように構成されている場合, ハッカーは、実行可能なPHPファイルをテキストファイルとしてアップロードできます。これにより、プラグインのチェックをバイパスして、悪意のあるコードをWebサイトの所有者に正常に配信できます。.

幸運, 簡単に利用できるようにするには、機能を有効にしてクイズ用に構成する必要があります. したがって, パネルにインストールされているサイトのほとんどは、この特定の欠陥によって悪用される可能性は低いです。.

2番目の欠陥も重大としてフラグが立てられます. 攻撃者にサイトから任意のファイルを削除する機会を与える可能性があります. この脆弱性は、高レベルのアクセス許可アクセスを確立できるハッカーによって悪用される可能性があります. これらの欠陥は両方とも、攻撃者がWebサイト全体とホスティングの制御を乗っ取る可能性があります.

欠陥は、任意のファイルのアップロードとして説明されています. 指定されたCVEはまだありません, しかし、CVSSスコアは 10.00, これはクリティカルを意味します. したがって, クイズと調査マスターのWordPressプラグインのユーザーはバージョンに更新する必要があります 7.0.1 すぐに彼らのサイトが’ これらの欠陥を悪用しようとする攻撃から保護することができます.

ウェブサイトのセキュリティのために, WordPressサイト管理者は、信頼できるユーザーのみにサブスクライバーレベルよりも高いアクセスレベルを提供することを強くお勧めします. さらに, 攻撃者が侵入手段として使用できないように、これらのアカウントに強力なパスワードを設定することを忘れないでください.


今月上旬, ワードフェンス研究者 ニュースレタープラグインにいくつかの欠陥を発見 WordPress用. 欠陥の1つが最近修正されました, と他の2つ, より深刻だった. 後者の欠陥は、反映されたクロスサイトスクリプティングでした (XSS) バグとPHPオブジェクト注入の問題. 幸運, プラグインの作成者に連絡した後, 脆弱性は新しいプレスリリースですぐに対処されました.

によって研究され、作成されました:
クルム・ポポフ
情熱的なウェブ起業家, 以来、Web プロジェクトを作成し続けています 2007. の 2020, 彼は、完璧な Web ホスティング ソリューションの検索を効率化することに特化した先見的なプラットフォーム、HTH.Guide を設立しました。. 続きを読む...
による技術レビュー:
メトディ・イワノフ
経験豊かな Web 開発エキスパート 8+ 長年の経験, ホスティング環境に関する専門知識を含む. 彼の専門知識により、コンテンツが最高の精度基準を満たし、ホスティング テクノロジーとシームレスに連携することが保証されます。. 続きを読む...

2 コメントコメント

  1. Melissa

    DO NOT TRUST QSM YOUVE BEEN WARNED. IT SAID 14 day trial and for a refund do I bought it. Had bad news was grieving so I tried it on dat 14. Hated it felt clunky, 使い方がわかりにくく、私が必要としていたものにはまったく適していません. その後、彼らは条件を変えてこう言いました 7 返金までに数日かかりますが、今は返金しません. 絶対に嫌だ. QSM を使用しないでください。警告されていますが、どこへでも移動します。. 返信にも時間がかかりすぎる. ただひどい. 今必要なものではない.

    返事
    1. HTH_Editors (投稿者)

      こんにちは、メリッサ,

      あなたの経験について聞いて申し訳ありません. ついに答えが出ましたか?

      返事

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

このサイトはreCAPTCHAとGoogleによって保護されています プライバシーポリシー利用規約 申し込み.

この Web サイトでは、ユーザー エクスペリエンスを向上させるために Cookie を使用しています. 当社のウェブサイトを使用することにより、当社の規定に従ってすべてのクッキーに同意したことになります プライバシーポリシー.
同意します
HTHガイドにて, 私たちは透明性のあるウェブホスティングレビューを提供します, 外部の影響からの独立性を確保する. すべてのレビューに厳格で一貫した基準を適用するため、評価は公平です。.
紹介されている企業の一部からアフィリエイト手数料を得る場合がありますが、, これらの手数料はレビューの完全性を損なったり、ランキングに影響を与えることはありません.
アフィリエイトの収益はアカウント獲得のカバーに貢献します, 試験費用, メンテナンス, ウェブサイトや社内システムの開発.
信頼できるホスティングに関する洞察と誠実さのための HTH.Guide を信頼してください.