アメリカのセキュリティベンダーSucuriによると、アクセス解析に用いるWordpress用プラグインの「WP Statistics」にSQLインジェクションの脆弱性が存在すると同社のブログで発表しました。同脆弱性は、ユーザの提供するデータ処理が原因としています。
「WP Statistics」とは、ユーザやセッション数などの統計を図ることができるアクセス解析のプラグインで30万以上のウェウサイトにインストールされているとみられています。
同社がプラグインの開発会社に連絡し、6月29日に脆弱性を修正したWP Statistics(バージョン12.0.8)をリリース。現在の同プラグイン最新バージョンは(12.0.9)となっている。
SQLインジェクションとは
SQLインジェクションとは、内部のデータベースサーバにアクセスするWebアプリケーションの脆弱性を突き、データベースサーバへ送信するSQLコマンドに任意の不正なコマンドを挿入する攻撃方法です。
技術的な部分では、SQLインジェクションを防ぎ、安全にSQLコマンドを実行するには、SQL文のテンプレートとなる文字列とパラメータの組を安全に処理する「静的プレースホルダ(バインド機構、プリペアード・ステートメント)」を用いることが重要です。
<図1>SQLインジェクションのイメージ図
さいごに
同プラグインの古いバージョンを使用されているユーザは開発元の情報を確認し、直ちに最新バージョンにアップデートを行いましょう。
また、SQLインジェクション等を狙う不正なアクセスを遮断するために、サーバやUTMにおいてWAF(Webアプリケーションファイアウォール)を設置することはある程度の効果が見込めるものの、様々な脆弱性の根本的な対策のため、Webアプリケーション診断を受けることも必要といえるでしょう。
当社のセキュリティ診断サービスについては、こちらからご覧ください
