WordPressのプラグイン「Who Hit The Page – Hit Counter」には、CVE-2023-47558という脆弱性が存在します。
この脆弱性は、バージョン1.4.14.3以下で発見されており、まだ修正されていません。
この脆弱性の種類は「SQLインジェクション」と呼ばれ、攻撃者が不正なSQLクエリを注入することで、データベースに対して悪意のある操作を行うことができます。
具体的には、ユーザーが入力したデータを適切に検証せずにクエリに組み込んでいるため、攻撃者は任意のSQLコードを実行することができます。
この脆弱性を悪用されると、攻撃者はデータベース内の情報を盗み出したり、改ざんしたりすることが可能になります。
また、サイトの管理者権限を奪取したり、他のユーザーの情報を閲覧したりすることもできます。
現時点では、この脆弱性の修正済みバージョンは存在していません。
したがって、Who Hit The Page – Hit Counterプラグインを使用している場合は、注意が必要です。
攻撃を防ぐためには、プラグインのアップデートがリリースされるまで、一時的に使用を中止するか、代替のプラグインを検討することをおすすめします。
WordPressのセキュリティは非常に重要です。
脆弱性が発見された場合は、速やかに修正することが必要です。
定期的なアップデートの確認と適用、信頼性のあるプラグインの選択など、セキュリティ対策を徹底することが重要です。