WordPressプラグイン「CCTM」にバックドア見つかる
CCTMにバックドアが仕込まれていることに複数の関係者が同時期に気づいたとされており、Sucuriは3月4日(米国時間)、「When a WordPress Plugin Goes Bad - Sucuri Blog」において、バックドアを発見した経緯や、バッグドアによってどうやってユーザ情報が窃取されるかなどを報告した。
CCTMに発見されたバックドアは開発に使われているリポジトリに正式にコミットされたものであることが、今回の重要事項として取り上げられている。こうしたことが起こった経緯は推測にとどまっているが、すでに開発が1年ほど停滞していることから、オリジナル開発者がほかの開発者にコミット権限を付与してほぼ開発を譲渡。譲り受けたコミッターのアカウントが何らかの方法で攻撃者に漏れ、このアカウントを経由して不正なコミットを実施するに至ったのではないかと説明されている。
プラグインやアドオンといったソフトウェアは、本体のソフトウェアよりも開発のモチベーション維持が短期間になることがある。
脆弱性が発表されていないとしても、それはすでに開発が終了したか、開発者のモチベーションが低下したことで開発に取り組まれていないことが理由になっていることもある。プラグインを利用する場合はこうしたプラグインのライフサイクルも加味しながら、アップデート計画や随時別のプラグインに置き換えるといった取り組みを実施することが推奨される。
この記事もおすすめ
提供元の記事
提供:
関連リンク
-
ダブルヒガシ、4月から東京進出 『桃鉄』配信と見せかけてサプライズ発表
-
new
Snow Man「カリスマックス」、自身最速で1億突破 岩本照が喜びのコメント「老若男女の方に踊ってもらえてありがとうございマックスです」【オリコンランキング】
-
心とカラダのバランスを可視化し、日々の暮らしを豊かに!~ 「Re・De Ring」専用アプリ「フィジカルヘルス機能」を2026年1月27日(火)に公開 ~
-
日向坂46松田好花、久保史緒里“鬼スケ”再現狙うも「無理でした(笑)」 『ANNX』収録で卒業セレモニー秘話
-
new
Netflix『WBC』アンバサダーに渡辺謙、スペシャルサポーターは二宮和也【コメント全文】