この脆弱性は、MW WP Formから送信されたファイル処理する際に、ファイルの参照先が許可されたディレクトリの内側に収まっているかを確認する処理が不十分な事による起こりうる脆弱性です。

WordPressの設定ファイルであるwp-config.phpには、そのWordpressサイトのデータベースへの接続情報(DB名、DBユーザー名、パスワード)が記載されています。

wp-config.php自体は、ブラウザなどでアクセスして閲覧できる状態ではない為、必要な対策を取っていれば通常は不正にアクセスする事はありません。

このwp-config.phpを「uploads」などの公開ディレクトリに移動して、wp-config.phpの内容が読み取られる可能性がございます。

wp-config.phpに記載されているDB接続情報を知られると、悪用した輩からDB内を参照・操作されてWordPress管理者権限の取得やサイト自体を改ざんが可能となり、サイトの悪用・乗っ取りなどの被害に繋がります。

PHPバージョンをアップデートする

MW WP Formを利用したフォームを一旦取りやめる

重大な脆弱性が発覚した以上、当プラグインをアップデートせずに使い続ける事は危険です。

脆弱性そのものは以前から存在していた可能性がありますが、脆弱性が公表されると、その仕組みを解析して攻撃に利用するプログラムが作成され、インターネット上で自動的に攻撃を行うケースが増加します。

そのため、脆弱性の公表後は短期間で攻撃が広がる可能性があり、早急な対策が必要となります。

従って、アップデートできない場合は、MW WP Formを無効化(又は無効化の後に削除)して、フォームが利用できない状態にしてください。

 

 

プラグインを無効化すると、単純にプラグインが反応しなくなる為、以下の様にフォームは表示されずショートコードが表示されるだけの状態になります。

 

 

この状態だと、訪問者から「不具合を放置している」と取られてしまいますので、フォーム用の固定ページを編集して、以下の様な表示にしておくと良いでしょう。

 

 

不信なユーザーが登録されていないか確認

WordPressユーザーに管理者権限で不信なユーザーが登録されていないか確認してください。

不信なユーザーが登録されていた場合、直ちにそのユーザーのパスワードを変更した後、サイト自体が改ざんされていないか確認してください。

ワードプレスのディレクトリ/wp-content/uploads に不信なファイルが無いか確認

管理者ユーザーを不正に取得した攻撃者は、/wp-content/uploadsに不正なファイルをアップロードしている事があります。

従って、/wp-content/uploadsに画像・PDF以外の不信なファイルが無いか確認してください。