Wordfence Threat Intelligenceチームが、70万のアクティブインストールがあるWordpressプラグイン「File Manager」に、認証されていない非正規ユーザーがコマンドを実行することで、特定のサイトにファイルをアップロードすることができる脆弱性があると伝えています。大量の情報流出の可能性がある脆弱性発見のニュースです。

ネタ元: Wordfence「700,000 WordPress Users Affected by Zero-Day Vulnerability in File Manager Plugin」

Description: Remote Code Execution
Affected Plugin:File Manager
Plugin Slug: wp-file-manager
Affected Versions: 6.0-6.8

File Manager バージョン6.9 リリース

2020年9月1日に、この脆弱性に対するパッチを含むバージョン6.9をリリースしていると伝えられていましたので、さっそくWordpressのプラグイン画面からFile Managerのバージョンを確認してみました。

しっかりと、「バージョン6.9」となっており、日本語版Wordpressでもアップロードできる状態になっているようです。

当社では検証環境も含め、File Mangarプラグインの利用はありませんでしたので、プラグインのバージョンアップ後の動作確認まではとれていませんが、もし、File Managerをお使いの方で、早々にプラグインの更新によるバージョンアップをテスト・実行されることをおススメします。