Crayon Syntax Highlighter に脆弱性があった

3日前くらいから、やけに変なスパムコメントが増えてる(承認してないから表示はされてないけど)と思って、
実際のコメント本文を見てみたら、下記のような内容。

<pre class=”lang:php” data-url=”/wp-config.php”></pre>

なんか怪しい~。
DBへの接続パスワードなど、wordpressの設定情報が書かれたファイルを表示させようとしている感じ。
もちろんこのファイル/ディレクトリの権限的に表示させないようにしてるんだけども、
最近やけにこの方法のアタックが多い。変な脆弱性見つかったのかな?
と思ってググって見ると、これかな?

Local file disclosure vulnerability in Crayon Syntax Highlighter

要するに、ソースコードを見やすく表示するのに便利なCrayon Syntax Highlighterというプラグインに、
サーバのローカルファイルを暴露されてしまうセキュリティホールが見つかりましたよ。とのこと。あぶね~。

最新バージョン(>= 2.7.0)にアップデートすれば問題は修正されているということなので、即update!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.